PicassoLoader Malware
Infosec நிபுணர்கள் உக்ரைன் மற்றும் போலந்தில் உள்ள இலக்குகளுக்கு எதிரான சைபர் தாக்குதல் பிரச்சாரங்களின் தொடர்களை அடையாளம் கண்டுள்ளனர். சைபர் கிரைமினல்கள் அரசாங்க நிறுவனங்கள், இராணுவ அமைப்புகள் மற்றும் சிவிலியன் பயனர்களை சமரசம் செய்வதில் கவனம் செலுத்துகின்றனர். இந்த பிரச்சாரங்கள் சட்டவிரோதமாக முக்கியமான தரவைப் பெறுவதையும் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு தொடர்ச்சியான தொலைநிலை அணுகலை நிறுவுவதையும் நோக்கமாகக் கொண்டுள்ளன.
ஏப்ரல் 2022 முதல் ஜூலை 2023 வரையிலான காலகட்டத்தில், இந்த ஊடுருவல் பிரச்சாரம் பல்வேறு தந்திரங்களைப் பயன்படுத்துகிறது. ஃபிஷிங் கவர்ச்சிகள் மற்றும் ஏமாற்று ஆவணங்கள் பாதிக்கப்பட்டவர்களை ஏமாற்றவும், PicassoLoader எனப்படும் டவுன்லோடர் மால்வேரை எளிதாக்கவும் பயன்படுத்தப்படுகின்றன. இந்த அச்சுறுத்தும் மென்பொருள் பிற பாதுகாப்பற்ற கருவிகளை, குறிப்பாக Cobalt Strike பெக்கான் மற்றும் njRAT ஐ தொடங்குவதற்கான நுழைவாயிலாக செயல்படுகிறது.
ஃபிஷிங் கவர்ச்சிகள் என்பது பயனர்பெயர்கள், கடவுச்சொற்கள் அல்லது கணக்குச் சான்றுகள் போன்ற முக்கியமான தகவல்களை வெளியிடுவதற்கு தனிநபர்களை ஏமாற்றுவதற்குப் பயன்படுத்தப்படும் ஏமாற்றும் உத்திகள். டிகோய் ஆவணங்கள் என்பது மாறுவேடமிட்ட கோப்புகள் சட்டப்பூர்வமாகத் தோன்றும் வகையில் வடிவமைக்கப்பட்டுள்ளது, ஆனால் உண்மையில் பாதுகாப்பற்ற பேலோடுகளைக் கொண்டுள்ளது. இந்த சிதைவு ஆவணங்களுடன் தொடர்பு கொள்ள பாதிக்கப்பட்டவர்களை கவர்ந்திழுப்பதன் மூலம், தாக்குபவர்கள் தங்கள் கணினிகளில் PicassoLoader டவுன்லோடரை இயக்கலாம்.
PicassoLoader வெற்றிகரமாக பயன்படுத்தப்பட்டவுடன், அது தாக்குதலின் அடுத்த கட்டத்திற்கான ஒரு வழியாக செயல்படுகிறது. இது இரண்டு கூடுதல் வகையான தீம்பொருளை நிறுவி செயல்படுத்துகிறது: கோபால்ட் ஸ்ட்ரைக் பெக்கான் மற்றும் njRAT. கோபால்ட் ஸ்ட்ரைக் பெக்கான் என்பது ஒரு அதிநவீன ஊடுருவல் சோதனைக் கருவியாகும், இது தாக்குபவர்கள் அங்கீகரிக்கப்படாத அணுகல் மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளின் மீது கட்டுப்பாட்டைப் பெற அனுமதிக்கிறது. njRAT ஐப் பொறுத்தவரை, இது ஒரு தொலைநிலை அணுகல் ட்ரோஜான் ஆகும், இது தாக்குபவர்களுக்கு பாதிக்கப்பட்ட அமைப்புகளுக்கு அங்கீகரிக்கப்படாத தொலைநிலை அணுகலை வழங்குகிறது, மேலும் அவர்கள் கண்டறியப்படாத தீங்கிழைக்கும் செயல்களைச் செய்ய அனுமதிக்கிறது.
பொருளடக்கம்
PicassoLoader மால்வேர் பல நிலை தொற்று சங்கிலியின் ஒரு பகுதியாக பயன்படுத்தப்படுகிறது
PicassoLoader க்கு பின்னால் உள்ள தாக்குபவர்கள் தங்கள் தீங்கு விளைவிக்கும் நடவடிக்கைகளை மேற்கொள்ள பல கட்ட தொற்று சங்கிலியைப் பயன்படுத்தினர். மைக்ரோசாஃப்ட் எக்செல் மற்றும் பவர்பாயிண்ட் கோப்பு வடிவங்கள் பொதுவாகப் பயன்படுத்தப்படும் சமரசம் செய்யப்பட்ட மைக்ரோசாஃப்ட் ஆபிஸ் ஆவணங்களைப் பயன்படுத்துவதை ஆரம்ப கட்டத்தில் உள்ளடக்கியது. இந்த ஆவணங்கள் தாக்குதலுக்கான தொடக்க புள்ளியாக செயல்படுகின்றன.
அலுவலக ஆவணங்களைத் தொடர்ந்து, ஒரு எக்ஸிகியூடபிள் டவுன்லோடர் மற்றும் பேலோட் ஆகியவை படக் கோப்பிற்குள் மறைக்கப்படுகின்றன. இந்த தந்திரோபாயம் பதிவிறக்கம் செய்பவரைக் கண்டறிதல் மற்றும் பேலோடை பாதுகாப்பு அமைப்புகளுக்கு மிகவும் சவாலானதாக மாற்றுவதற்கு பயன்படுத்தப்பட்டிருக்கலாம். ஒரு படக் கோப்பிற்குள் மறைத்து வைப்பதன் மூலம், தாக்குபவர்கள் பாதுகாப்பு நடவடிக்கைகளைத் தவிர்த்து, வெற்றிகரமான ஊடுருவலுக்கான வாய்ப்புகளை அதிகரிப்பதை நோக்கமாகக் கொண்டுள்ளனர்.
இந்த தாக்குதல்களில் சில GhostWriter என அழைக்கப்படும் அச்சுறுத்தல் நடிகருக்குக் காரணம், UAC-0057 அல்லது UNC1151 என்றும் கண்காணிக்கப்படுகிறது. கோஸ்ட்ரைட்டரின் உந்துதல்களும் நோக்கங்களும் பெலாரஷ்ய அரசாங்கத்தின் நலன்களுடன் ஒத்துப்போவதாக நம்பப்படுகிறது.
உக்ரைனுக்கு எதிரான பல இலக்கு தாக்குதல்கள் கவனிக்கப்பட்டுள்ளன
உக்ரைனின் கணினி அவசரநிலைப் பதிலளிப்புக் குழுவால் (CERT-UA) கடந்த ஆண்டில் இந்த தாக்குதல்களின் துணைக்குழு ஏற்கனவே ஆவணப்படுத்தப்பட்டது குறிப்பிடத்தக்கது. ஒரு குறிப்பிடத்தக்க உதாரணம் ஜூலை 2022 இல் நிகழ்ந்தது, அங்கு Agent Tesla தீம்பொருளை வழங்க மேக்ரோ-லேடன் பவர்பாயிண்ட் ஆவணங்கள் பயன்படுத்தப்பட்டன. தீம்பொருளை விநியோகிப்பதற்கும் பாதிக்கப்பட்டவர்களின் அமைப்புகளை சமரசம் செய்வதற்கும் மேக்ரோக்களை பயன்படுத்துவதை இந்த சம்பவம் எடுத்துக்காட்டுகிறது.
இந்தத் தாக்குதல்களில் பயன்படுத்தப்படும் தொற்றுச் சங்கிலிகள், அலுவலக ஆவணங்களில் உள்ள மேக்ரோக்களை இயக்க பாதிக்கப்பட்டவர்களை நம்ப வைக்க சமூக பொறியியல் முறைகளை நம்பியுள்ளன. மேக்ரோக்கள் இயக்கப்பட்டவுடன், ஒரு VBA மேக்ரோ தூண்டப்படுகிறது, இது PicassoLoader DLL டவுன்லோடர் அச்சுறுத்தலைப் பயன்படுத்துவதற்கு வழிவகுக்கிறது. இந்த பதிவிறக்கி, அடுத்த கட்ட பேலோடை மீட்டெடுக்க, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் தளத்துடன் இணைப்பை ஏற்படுத்துகிறது, இது சட்டபூர்வமான படக் கோப்பிற்குள் உட்பொதிக்கப்பட்டுள்ளது. இறுதி மால்வேர் இந்தப் படக் கோப்பிற்குள் மறைக்கப்பட்டுள்ளது.
CERT-UA இன் இந்த சமீபத்திய வெளிப்பாடுகள் SmokeLoader தீம்பொருளை விநியோகிக்கும் பல ஃபிஷிங் செயல்பாடுகள் பற்றிய அறிக்கையுடன் ஒத்துப்போகின்றன. கூடுதலாக, டெலிகிராம் பயனர்களைக் குறிவைத்து, அவர்களின் கணக்குகளின் மீது அங்கீகரிக்கப்படாத கட்டுப்பாட்டைப் பெறும் நோக்கத்துடன் ஒரு ஸ்மிஷிங் தாக்குதல் அடையாளம் காணப்பட்டது.
GhostWriter என்பது உக்ரைனை குறிவைக்கும் சைபர் கிரைம் குழுக்களில் ஒன்றாகும்
உக்ரைன் பல அச்சுறுத்தல் நடிகர்களுக்கு இலக்காக மாறியுள்ளது, இதில் மோசமான ரஷ்ய தேசிய-அரசு குழு APT28 . APT28 ஆனது, HTML இணைப்புகளுடன் ஃபிஷிங் மின்னஞ்சல்களை அனுப்பும் தந்திரத்தைப் பயன்படுத்துகிறது, பெறுநர்களை ஏமாற்றி அவர்களின் UKR.NET மற்றும் Yahoo! கணக்குகள். மின்னஞ்சல்கள் பயனர்கள் தங்கள் கடவுச்சொற்களை மாற்றத் தூண்டுகிறது, மாறாக, அவர்களின் உள்நுழைவு சான்றுகளை சேகரிக்க வடிவமைக்கப்பட்ட போலி இறங்கும் பக்கங்களுக்கு அவர்களை இட்டுச் செல்லும்.
இந்த சமீபத்திய வளர்ச்சி ரஷ்ய இராணுவ உளவுத்துறை (GRU)-தொடர்புடைய ஹேக்கர்களின் செயல்பாடுகளில் காணப்பட்ட ஒரு பரந்த வடிவத்தின் ஒரு பகுதியாகும். அவர்கள் உக்ரைனுக்கு எதிரான அவர்களின் சீர்குலைக்கும் நடவடிக்கைகளில் ஒரு 'நிலையான ஐந்து-கட்ட விளையாட்டு புத்தகத்தை' ஏற்றுக்கொண்டனர், இது அவர்களின் தாக்குதல்களின் வேகம், அளவு மற்றும் தீவிரத்தை மேம்படுத்துவதற்கான வேண்டுமென்றே முயற்சியை நிரூபிக்கிறது.
