பவர் மேஜிக்
தற்போது ரஷ்யாவால் ஆக்கிரமிக்கப்பட்ட உக்ரைனின் பிராந்தியங்களுக்குள் செயல்படும் அரசு நிறுவனங்கள் மற்றும் பிற அமைப்புகளை இலக்காகக் கொண்ட ஒரு புதிய இணைய உளவுப் பிரச்சாரத்தை சமீபத்திய ஆராய்ச்சி அம்பலப்படுத்தியுள்ளது. இந்த பிரச்சாரம் பவர்மேஜிக் மற்றும் காமன் மேஜிக் என அழைக்கப்படும் இரண்டு தனித்துவமான மற்றும் முன்னர் அறியப்படாத மால்வேர் விகாரங்களைப் பயன்படுத்துகிறது.
டோனெட்ஸ்க், லுகான்ஸ்க் மற்றும் கிரிமியா பகுதிகளில் உள்ள நிறுவனங்களுக்குச் சொந்தமான இலக்கு சாதனங்களிலிருந்து தரவைத் திருடுவதற்கு இந்தத் தீம்பொருளின் விகாரங்களைத் தாக்குபவர்கள் பயன்படுத்துகின்றனர். இந்த உளவுப் பிரச்சாரத்தின் இலக்குகளில் அரசு நிறுவனங்களும், விவசாயம் மற்றும் போக்குவரத்து அமைப்புகளும் அடங்கும்.
இந்த சமீபத்திய இணைய உளவுப் பிரச்சாரம், உக்ரைனுக்கும் ரஷ்யாவிற்கும் இடையிலான பெரிய இணைய மோதலின் ஒரு பகுதியாகும், பிராந்தியத்தில் நடந்து வரும் மோதலைக் கருத்தில் கொண்டு இது மிகவும் சாத்தியமானதாகத் தோன்றுகிறது.
தாக்குபவர்கள் ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் டிகோய் ஆவணங்களைப் பயன்படுத்துகின்றனர்
இந்த சம்பவத்தின் பின்னணியில் உள்ள தாக்குபவர்கள் ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தி தீம்பொருளைப் பரப்பினர், அதில் தீங்கிழைக்கும் நோக்கம் கொண்ட சர்வரில் ஹோஸ்ட் செய்யப்பட்ட .zip காப்பகத்திற்கான ஹைப்பர்லிங்க் உள்ளது.
.zip காப்பகமானது இரண்டு கோப்புகளால் ஆனது: அதிகாரப்பூர்வ ஆணையாக மாறுவேடமிட்ட ஒரு ஆவணம் - கிரிமியாவில் நாடாளுமன்றத் தேர்தல்கள் தொடர்பான அறிவிப்புகள் அல்லது டொனெட்ஸ்கில் பட்ஜெட் திட்டமிடல் உள்ளிட்ட எடுத்துக்காட்டுகள் - அத்துடன் தீங்கிழைக்கும் .lnk கோப்பு. திறக்கப்பட்டதும், இந்த .lnk கோப்பு தீம்பொருளைத் தொடங்கி, இலக்கு வைக்கப்பட்ட சாதனத்தைப் பாதிக்கும்.
தாக்குதலின் ஆரம்ப கட்டத்தில், ஹேக்கர்கள் கணினியில் ஊடுருவ பவர்மேஜிக் எனப்படும் பவர்ஷெல் அடிப்படையிலான பின்கதவைப் பயன்படுத்தினர்.
பவர்மேஜிக் பல அச்சுறுத்தும் திறன்களைக் கொண்டுள்ளது
பவர்மேஜிக் பின்கதவை மேலும் ஆய்வு செய்ததில், %APPDATA%\WinEventCom\config இல் உள்ள கோப்பிலிருந்து பின்கதவின் முதன்மைப் பகுதி படிக்கப்பட்டது கண்டுபிடிக்கப்பட்டது. இந்தக் கோப்பு ஒரு எளிய XOR அல்காரிதத்தைப் பயன்படுத்தி மறைகுறியாக்கப்படுகிறது.
மறைகுறியாக்கத்திற்குப் பிறகு, பின்கதவு அதன் நியமிக்கப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகத்துடன் தொடர்ந்து தொடர்பு கொள்ளும் எல்லையற்ற வளையத்திற்குள் நுழைகிறது. பின் கதவு சேவையகத்திலிருந்து கட்டளைகளைப் பெறுகிறது மற்றும் பதிவேற்றிய முடிவுகளுடன் பதிலளிக்கிறது.
PowerMagic வெற்றிகரமாக C&C சேவையகத்துடன் ஒரு இணைப்பை நிறுவும் போது, அது தன்னிச்சையான கட்டளைகளை இயக்கும் திறனைக் கொண்டுள்ளது. இந்த செயல்படுத்தப்பட்ட கட்டளைகளின் முடிவுகள் டிராப்பாக்ஸ் மற்றும் மைக்ரோசாஃப்ட் ஒன்டிரைவ் போன்ற கிளவுட் சேவைகளுக்கு வெளியேற்றப்படுகின்றன.
இருப்பினும், PowerMagic இன் முக்கிய பணிகளில் ஒன்று, பாதிக்கப்பட்ட சாதனங்களுக்கு அடுத்த கட்ட CommonMagic கட்டமைப்பை வழங்குவதாகும். CommonMagic என்பது குறிப்பிட்ட பணிகளைச் செய்யக்கூடிய மிகவும் சிக்கலான தீங்கிழைக்கும் கருவியாகும்.
