PowerModul Implant

பேப்பர் வேர்வுல்ஃப் - GOFFEE என்றும் அழைக்கப்படும் இந்த அச்சுறுத்தல் நடிகர், பவர்மாடல் என்ற புதிய உள்வைப்பைப் பயன்படுத்தி ரஷ்ய நிறுவனங்களை மட்டுமே குறிவைத்து வருகிறார். ஜூலை மற்றும் டிசம்பர் 2024 க்கு இடையில், அவர்களின் தாக்குதல்கள் வெகுஜன ஊடகங்கள், தொலைத்தொடர்பு, கட்டுமானம், அரசு நிறுவனங்கள் மற்றும் எரிசக்தித் துறை உள்ளிட்ட முக்கிய தொழில்களில் பூஜ்ஜியமாக இருந்தன.

ஒரு தொடர்ச்சியான எதிரி: 2022 முதல் பிரச்சாரங்கள்

2022 முதல் பேப்பர் வேர்வுல்ஃப் குறைந்தது ஏழு பிரச்சாரங்களை மேற்கொண்டுள்ளது. அரசாங்கம், எரிசக்தி, நிதி மற்றும் ஊடகத் துறைகளுக்குள் அதிக மதிப்புள்ள இலக்குகளில் குழுவின் நிலையான கவனம் செலுத்தப்படுகிறது.

உளவு பார்ப்பதை விட அதிகம்: தாக்குதல் சங்கிலிகளில் அழிவுகரமான திருப்பங்கள்

பேப்பர் வேர்வுல்ஃப்பின் செயல்பாடுகள் பாரம்பரிய சைபர் உளவுத்துறைக்கு அப்பாற்பட்டவை. அவர்களின் தாக்குதல் சங்கிலிகள் ஊழியர் கணக்கு கடவுச்சொற்களை மாற்றுவது போன்ற சீர்குலைக்கும் கூறுகளை உள்ளடக்கியிருப்பது கண்டறியப்பட்டுள்ளது, இது செயல்பாடுகளை முடக்குவதற்கும் தரவை மட்டும் திருடுவதற்கும் நோக்கமாக இருப்பதைக் குறிக்கிறது.

நுழைவுப் புள்ளி: ஃபிஷிங் லூர்ஸ் மற்றும் பவர்ராட்

தாக்குதல்கள் பொதுவாக மேக்ரோ-லேஸ் செய்யப்பட்ட ஆவணங்களைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகின்றன. பாதிக்கப்பட்டவர் கோப்பை அணுகி மேக்ரோக்களை இயக்கியதும், பவர்ராட் எனப்படும் பவர்ஷெல் அடிப்படையிலான ரிமோட் அக்சஸ் ட்ரோஜன் பயன்படுத்தப்படுகிறது. இந்த தீம்பொருள் மிகவும் மேம்பட்ட பேலோடுகளுக்கு மேடை அமைக்கிறது.

தனிப்பயன் மால்வேர் ஆர்சனல்: பவர்டாஸ்கெல், குவாக்மைஏஜென்ட் மற்றும் ஓவோவா

அடுத்த கட்ட பேலோடுகளில் பெரும்பாலும் பவர்டாஸ்கெல் மற்றும் குவாக்மைஏஜென்ட் ஆகியவை அடங்கும், அவை மிதிக் கட்டமைப்பை அடிப்படையாகக் கொண்ட முகவர்களின் தனிப்பயன் பதிப்புகள். மற்றொரு கருவி, ஓவோவா, ஒரு தீங்கிழைக்கும் IIS தொகுதி, வலை கிளையண்டுகள் மூலம் உள்ளிடப்பட்ட மைக்ரோசாப்ட் அவுட்லுக் சான்றுகளைத் திருடப் பயன்படுகிறது.

புதிய தொற்று தந்திரம்: RAR காப்பகங்களில் மாறுவேடமிட்ட செயல்படுத்தக்கூடியவை

சமீபத்திய தாக்குதல் அலையில், இரட்டை நீட்டிப்புகளைப் பயன்படுத்தி (எ.கா., *.pdf.exe) PDF அல்லது Word ஆவணமாக மாறுவேடமிட்டு செயல்படுத்தக்கூடிய ஒரு தீங்கிழைக்கும் RAR காப்பகம் உள்ளது. செயல்படுத்தப்பட்டவுடன், பின்னணியில் கணினி அமைதியாக பாதிக்கப்பட்டிருக்கும் போது பயனருக்கு ஒரு ஏமாற்று ஆவணம் காட்டப்படும்.

இயங்கக்கூடியது உண்மையில் ஒரு இணைக்கப்பட்ட விண்டோஸ் சிஸ்டம் கோப்பாகும் (explorer.exe போன்றது), இது தெளிவற்ற மிதிக் முகவரைக் கொண்ட தீங்கிழைக்கும் ஷெல் குறியீட்டுடன் உட்பொதிக்கப்பட்டுள்ளது, இது மேலும் வழிமுறைகளுக்கு C2 சேவையகத்துடன் இணைகிறது.

மாற்று தாக்குதல் பாதை: பவர்மாடுல் மைய நிலையை எடுக்கிறது.

மாற்று முறையில், Paper Werewolf, PowerModul-க்கு ஒரு டிராப்பராகச் செயல்படும் மேக்ரோ-லேஸ் செய்யப்பட்ட Office ஆவணத்துடன் கூடிய RAR காப்பகத்தைப் பயன்படுத்துகிறது. இந்த PowerShell ஸ்கிரிப்ட் C2 சேவையகத்திலிருந்து கூடுதல் ஸ்கிரிப்ட்களை இயக்க முடியும், இது ஒரு பல்துறை பின்புறக் கதவை உருவாக்குகிறது.

சுமை அணிவகுப்பு: உளவு பார்த்தல் மற்றும் தொற்றுக்கான ஒரு கருவித்தொகுப்பு

பவர்மாடூல் 2024 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து பயன்பாட்டில் உள்ளது, முதன்மையாக பவர்டாஸ்கலை பதிவிறக்கம் செய்து இயக்குவதற்காக. பிற குறிப்பிடத்தக்க பேலோடுகளில் பின்வருவன அடங்கும்:

• FlashFileGrabber : ஃபிளாஷ் டிரைவ்களிலிருந்து கோப்புகளைத் திருடி அவற்றை வடிகட்டுகிறது.
• FlashFileGrabberOffline : ஃபிளாஷ் மீடியாவில் குறிப்பிட்ட நீட்டிப்புகளைக் கொண்ட கோப்புகளைத் தேடி, பின்னர் வெளியேற்றுவதற்காக அவற்றை உள்ளூரில் சேமிக்கிறது.
• USB வார்ம் : பவர்மாடூலின் நகலை ஃபிளாஷ் டிரைவ்களில் பயன்படுத்தி, தீம்பொருளை மேலும் பரப்புகிறது.

பவர்டாஸ்கலின் திறன்கள்: ஸ்கிரிப்ட் செயல்படுத்தலை விட அதிகம்

பவர்மாடூலைப் போலவே, பவர்டாஸ்கெலும் அதிக திறன் கொண்டது. இது கணினித் தகவலுடன் 'செக் இன்' செய்தியை அனுப்புகிறது, C2 சேவையகத்திலிருந்து கட்டளைகளை இயக்குகிறது மற்றும் PsExec ஐப் பயன்படுத்தி சலுகைகளை அதிகரிக்க முடியும். ஒரு சந்தர்ப்பத்தில், ஹார்ட்கோட் செய்யப்பட்ட SMB நெட்வொர்க் பாதைகளைப் பயன்படுத்தி தொலைநிலை அமைப்புகளிலிருந்து கோப்புகளைச் சேகரிக்கும் FolderFileGrabber ஸ்கிரிப்டை இது செயல்படுத்துவதைக் காண முடிந்தது.

தந்திரோபாயங்களில் பரிணாமம்: பவர்டாஸ்கலில் இருந்து விலகுதல்

முதல் முறையாக, பேப்பர் வேர்வுல்ஃப் ஆரம்ப அணுகலுக்காக VBA ஸ்கிரிப்ட்களுடன் கூடிய மோசடியான வேர்டு ஆவணங்களைப் பயன்படுத்தியுள்ளது. சமீபத்திய கண்டுபிடிப்புகள் ஒரு தந்திரோபாய மாற்றத்தையும் குறிக்கின்றன, குழு பவர்டாஸ்கலில் இருந்து விலகி, இலக்கு நெட்வொர்க்குகளுக்குள் பக்கவாட்டு இயக்கத்திற்கு பைனரி மிதிக் முகவர்களை அதிகளவில் நம்பியுள்ளது.

இறுதி எண்ணங்கள்: வளர்ந்து வரும் நுட்பங்களுடன் வளர்ந்து வரும் அச்சுறுத்தல்

பேப்பர் வேர்வுல்ஃப் அதன் நுட்பங்களை தொடர்ந்து மேம்படுத்தி, அதன் ஆயுதக் களஞ்சியத்தை விரிவுபடுத்துகிறது. ரஷ்ய நிறுவனங்களின் மீதான பிரத்தியேக கவனம், சீர்குலைக்கும் திறன்கள் மற்றும் வளர்ந்து வரும் தொற்று உத்தி ஆகியவற்றுடன் இணைந்து, அதை ஒரு தீவிரமான மற்றும் தொடர்ச்சியான சைபர் அச்சுறுத்தலாக ஆக்குகிறது.