PHANTOMPULSE எலி

PHANTOMPULSE எனப்படும், இதற்கு முன் ஆவணப்படுத்தப்படாத விண்டோஸ் ரிமோட் அக்சஸ் ட்ரோஜனைப் பரப்புவதற்காக, Obsidian-ஐ ஒரு ஆரம்ப அணுகல் ஊடகமாகப் பயன்படுத்தும் ஒரு நுட்பமான சமூகப் பொறியியல் பிரச்சாரம் உருவாகியுள்ளது. இந்தப் பிரச்சாரம், நிதி மற்றும் கிரிப்டோகரன்சி துறைகளில் செயல்படும் நபர்களைக் குறிப்பாகக் குறிவைத்து, முறையான கருவிகள் மீதான நம்பிக்கையைப் பயன்படுத்தி பாரம்பரிய பாதுகாப்பு எதிர்பார்ப்புகளைத் தவிர்க்கிறது.

செயல்பாடு REF6598: தொழில்முறை வலையமைப்புகள் மூலமான ஏமாற்று வேலை

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களால் REF6598 எனப் பெயரிடப்பட்ட இந்த பிரச்சாரம், லிங்க்ட்இன் மற்றும் டெலிகிராம் வழியாக மேம்பட்ட சமூகப் பொறியியல் நுட்பங்களைப் பயன்படுத்துகிறது. ஆரம்பத்தில், ஒரு துணிகர மூலதன நிறுவனத்துடன் இணைந்து செயல்படுவது போன்ற பாசாங்குடன் இலக்குகள் அணுகப்படுகிறார்கள். பின்னர், உரையாடல்கள் போலி 'கூட்டாளிகள்' இடம்பெற்றிருக்கும் டெலிகிராம் குழு அரட்டைகளுக்கு மாற்றப்பட்டு, நம்பகமான ஒரு தோற்றம் உருவாக்கப்படுகிறது.

இந்தக் குழுக்களுக்குள், நிதிச் சேவைகள் மற்றும் கிரிப்டோகரன்சி பணப்புழக்க உத்திகள் குறித்த விவாதங்கள் நடைபெற்று, நம்பகத்தன்மையை வலுப்படுத்துகின்றன. இறுதியில், பாதிக்கப்பட்டவர்கள் வழங்கப்பட்ட சான்றுகளைப் பயன்படுத்தி, கிளவுடில் இயங்கும் அப்சிடியன் வால்ட் வழியாக ஒரு பகிரப்பட்ட டாஷ்போர்டை அணுகுமாறு அறிவுறுத்தப்படுகிறார்கள்.

மறைக்கப்பட்ட தூண்டுதல்: தீங்கிழைக்கும் பெட்டகச் செயல்படுத்தல்

பாதிக்கப்பட்டவர் அப்சிடியனில் உள்ள பகிரப்பட்ட வால்ட்டைத் திறக்கும்போது, தொற்றுச் சங்கிலி செயல்படுத்தப்படுகிறது. இந்தக் கட்டத்தில், இயல்பாகவே முடக்கப்பட்டிருக்கும் 'நிறுவப்பட்ட சமூக செருகுநிரல்களுக்கான' ஒத்திசைவை இயக்குமாறு பயனரிடம் கேட்கப்படுகிறது. இந்தக் கைமுறைச் செயல் மிகவும் முக்கியமானது, ஏனெனில் இது உட்பொதிக்கப்பட்ட தீங்கிழைக்கும் உள்ளமைப்புகளைச் செயல்பட அனுமதிக்கிறது.

தாக்குதல் நடத்துபவர்கள், அங்கீகரிக்கப்படாத குறியீட்டை இயக்குவதற்காக, ஷெல் கமாண்ட்ஸ் மற்றும் ஹைடர் போன்ற முறையான செருகுநிரல்களைப் பயன்படுத்துகின்றனர். ஷெல் கமாண்ட்ஸ் செயலாக்கத்தை எளிதாக்கும் அதே வேளையில், ஹைடர் நிலைப்பட்டை மற்றும் கருவிக்குறிப்புகள் போன்ற இடைமுகக் கூறுகளை மறைத்து, கண்டறியப்படுவதற்கான வாய்ப்பைக் குறைக்கிறது. இந்தத் தாக்குதல், செருகுநிரல் ஒத்திசைவை இயக்குமாறு பயனரை நம்ப வைப்பதை முழுமையாகச் சார்ந்துள்ளது, இதன் மூலம் உள்ளமைக்கப்பட்ட பாதுகாப்புகளைத் தவிர்க்கிறது.

திட்டமிட்ட ஏமாற்று: முறையான அம்சங்களைச் சார்ந்து வாழ்தல்

இந்த பிரச்சாரம், மென்பொருள் குறைபாடுகளைச் சுரண்டுவதற்குப் பதிலாக, நம்பகமான செயலியின் செயல்பாடுகளை உத்தியோகபூர்வமாகத் தவறாகப் பயன்படுத்துவதில் தனித்து நிற்கிறது. இதன் முக்கிய பண்புகள் பின்வருமாறு:

• தீங்கிழைக்கும் கோப்புகள் JSON உள்ளமைவு கோப்புகளுக்குள் உட்பொதிக்கப்பட்டுள்ளதால், அவை வழக்கமான வைரஸ் தடுப்பு கண்டறிதலைத் தூண்டுவதற்கான வாய்ப்பு குறைவாக உள்ளது.
• கையொப்பமிடப்பட்ட எலக்ட்ரான் அடிப்படையிலான பயன்பாட்டின் மூலம் செயலாக்கம் நிகழ்த்தப்படுவதால், மூலச் செயல்முறை அடிப்படையிலான கண்டறிதல் சிக்கலாகிறது.
• நிலைத்தன்மையும் கட்டளைச் செயலாக்கமும், பயன்பாட்டிற்குள் உள்ள முறையான செருகுநிரல் வழிமுறைகளை முழுமையாகச் சார்ந்துள்ளன.

விண்டோஸ் தொற்றுச் சங்கிலி: லோடரிலிருந்து நினைவகத்தில் தங்கும் பின்கதவு வரை

விண்டோஸ் கணினிகளில், இந்தத் தாக்குதல் பவர்ஷெல் அடிப்படையிலான ஒரு செயலாக்கத் தொடரைத் தொடங்குகிறது, அது PHANTOMPULL என்ற இடைநிலை லோடரை நிறுவுகிறது. இந்த லோடர், வட்டு அடிப்படையிலான கண்டறிதலைத் தவிர்த்து, PHANTOMPULSE-ஐ நேரடியாக நினைவகத்தில் மறைகுறியீட்டை நீக்கி இயக்குகிறது.

PHANTOMPULSE, எத்தேரியம் நெட்வொர்க்கை வினவுவதன் மூலம் பிளாக்செயின் அடிப்படையிலான கட்டளை மற்றும் கட்டுப்பாட்டு (C2) தீர்வை ஒருங்கிணைக்கிறது. இது, ஒரு நிரலில் நேரடியாகக் குறிப்பிடப்பட்ட வாலட் முகவரியுடன் இணைக்கப்பட்ட சமீபத்திய பரிவர்த்தனையை மீட்டெடுத்து, அதன் C2 சேவையகத்தை மாறும் தன்மையுடன் தீர்மானிக்கிறது. தகவல்தொடர்பு WinHTTP வழியாக நடத்தப்படுகிறது, இது தரவுக் கசிவு, கட்டளை மீட்டெடுப்பு மற்றும் செயலாக்க அறிக்கையிடல் ஆகியவற்றைச் செயல்படுத்துகிறது.

இந்த தீம்பொருள் பல்வேறு வகையான தொலைக்கட்டுப்பாட்டுத் திறன்களை ஆதரிக்கிறது:

• inject: ஷெல்கோடு, DLL-கள் அல்லது இயக்கக்கூடிய கோப்புகளை செயல்முறைகளுக்குள் செலுத்துகிறது.
• drop: வட்டில் கோப்புகளை எழுதி இயக்குகிறது.
• ஸ்கிரீன்ஷாட்: திரைத் தரவைப் படம்பிடித்துப் பதிவேற்றுகிறது.
• keylog: விசை அழுத்தப் பதிவை இயக்குகிறது அல்லது முடக்குகிறது
• நிறுவல் நீக்கம்: நிலைத்தன்மை பொறிமுறைகளை அகற்றி, கலைப்பொருட்களைச் சுத்தம் செய்கிறது.
• elevate: COM elevation-ஐப் பயன்படுத்தி SYSTEM-க்கு சிறப்புரிமைகளை உயர்த்துகிறது.
• தரமிறக்கம்: சிறப்புரிமைகளை SYSTEM நிலையிலிருந்து நிர்வாகி நிலைக்குக் குறைக்கிறது.

macOS மாறுபாடு: மறைத்தல் மற்றும் நெகிழ்வான C2 உள்கட்டமைப்பு

macOS-இல், இந்தத் தாக்குதல் அதே செருகுநிரல் வழிமுறை மூலம் வழங்கப்படும், தெளிவற்றதாக்கப்பட்ட ஒரு AppleScript-ஐப் பயன்படுத்துகிறது. இந்த ஸ்கிரிப்ட், முன்னரே வரையறுக்கப்பட்ட டொமைன்களின் பட்டியலைச் சுற்றிச் சுழன்று, C2 கண்டறிதலுக்காக Telegram-ஐ ஒரு மாற்று முனையத் தீர்வுக் கருவியாகப் பயன்படுத்துகிறது. இந்த வடிவமைப்பு, உள்கட்டமைப்பை விரைவாகச் சுழற்சி செய்ய உதவுகிறது, இதனால் பாரம்பரிய டொமைன்-தடுப்பு உத்திகள் பயனற்றதாகின்றன.

இறுதிக் கட்டத்தில், ஓசாஸ்கிரிப்ட் வழியாக ஒரு இரண்டாம் நிலை பேலோடை மீட்டெடுத்து இயக்குவது அடங்கும். இருப்பினும், பகுப்பாய்வின் போது C2 சேவையகங்கள் செயலற்ற நிலையில் இருந்ததால், இந்த பேலோடின் முழுமையான திறன்கள் இன்னும் தீர்மானிக்கப்படவில்லை.

தாக்குதலின் விளைவு மற்றும் மூலோபாய தாக்கங்கள்

நோக்கங்கள் நிறைவேற்றப்படுவதற்கு முன்பே பாதுகாப்பு நடவடிக்கைகள் தாக்குதலைக் கண்டறிந்து தடுத்ததால், கண்காணிக்கப்பட்ட அந்த ஊடுருவல் இறுதியில் தோல்வியடைந்தது. இருப்பினும், REF6598 அச்சுறுத்தல் செய்பவர்களின் வழிமுறையில் ஒரு குறிப்பிடத்தக்க பரிணாம வளர்ச்சியை எடுத்துக்காட்டுகிறது.

நம்பகமான செயலிகளைச் சுரண்டுவதன் மூலமும், பயனரால் இயக்கப்படும் உள்ளமைவு மாற்றங்களைச் சார்ந்திருப்பதன் மூலமும், எதிரிகள் வழக்கமான பாதுகாப்புக் கட்டுப்பாடுகளைத் திறம்படத் தவிர்க்கின்றனர். இந்த அணுகுமுறை, முறையான மென்பொருள் அம்சங்களை இரகசியச் செயலாக்க வழிகளாக ஆயுதமாக்குதல் என்ற வளர்ந்து வரும் போக்கை அடிக்கோடிட்டுக் காட்டுகிறது; இது இணையப் பாதுகாப்புத் தற்காப்புகளில் மேம்பட்ட பயனர் விழிப்புணர்வு மற்றும் நடத்தை கண்காணிப்பின் அவசியத்தை வலியுறுத்துகிறது.