ResolverRAT Malware
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் ResolverRAT என்ற அதிநவீன தொலைதூர அணுகல் ட்ரோஜனை அடையாளம் கண்டுள்ளனர், இது சுகாதாரம் மற்றும் மருந்துத் துறைகளை குறிவைத்து தாக்குதல்களில் தீவிரமாகப் பயன்படுத்தப்படுகிறது. புதிதாகக் கண்டுபிடிக்கப்பட்ட இந்த தீம்பொருள் அதன் திருட்டுத்தனமான நடத்தை மற்றும் சிக்கலான தொற்று வழிமுறைகள் காரணமாக கடுமையான ஆபத்தை ஏற்படுத்துகிறது.
பொருளடக்கம்
ஃபிஷிங் தந்திரோபாயங்கள்: ஒரு ஆயுதமாக பயம்
இந்த பிரச்சாரம் பயத்தை ஏற்படுத்தும் ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகிறது, இது பெறுநர்களை அவசரமாக ஒரு தீங்கிழைக்கும் இணைப்பைக் கிளிக் செய்யத் தள்ள வடிவமைக்கப்பட்டுள்ளது. இந்த கவர்ச்சிகரமான மின்னஞ்சல்கள் பெரும்பாலும் சட்ட சிக்கல்கள் அல்லது பதிப்புரிமை மீறல்களைக் குறிக்கின்றன, பீதியை உருவாக்கி அவசர எதிர்வினையைத் தூண்டும் வகையில் வடிவமைக்கப்பட்டுள்ளன. கிளிக் செய்தவுடன், இணைப்பு ResolverRAT தொற்று சங்கிலியைத் தொடங்கும் ஒரு கோப்பைப் பதிவிறக்க வழிவகுக்கிறது.
பிராந்தியம் சார்ந்த ஏமாற்று
இந்த பிரச்சாரத்தில் ஒரு தனித்துவமான அம்சம் உள்ளூர்மயமாக்கப்பட்ட ஃபிஷிங் உள்ளடக்கத்தைப் பயன்படுத்துவதாகும். மின்னஞ்சல்கள் இலக்கு வைக்கப்பட்ட பிராந்தியங்களின் தாய்மொழிகளில் எழுதப்படுகின்றன - இந்தி, இத்தாலியன், செக், துருக்கியம், போர்த்துகீசியம் மற்றும் இந்தோனேசியம் - பிராந்திய-குறிப்பிட்ட தையல் மூலம் தொற்று வெற்றியை அதிகரிக்கும் தாக்குபவர்களின் நோக்கத்தை எடுத்துக்காட்டுகின்றன.
தொற்று இயக்கவியல்: ஒரு திருட்டுத்தனமான சங்கிலி எதிர்வினை
ResolverRAT அதன் தொற்று சங்கிலியைத் தொடங்க DLL பக்க ஏற்றுதலைப் பயன்படுத்துகிறது. முதல் கட்டத்தில் முதன்மை பேலோடை மறைகுறியாக்கி இயக்க நினைவகத்தில் உள்ள ஏற்றி பயன்படுத்தப்படுகிறது, இது குறியாக்கம் செய்யப்பட்டு, சுருக்கப்பட்டு, வட்டில் எழுதப்படாது. இந்த நுட்பங்கள் பாரம்பரிய பாதுகாப்பு கருவிகளால் கண்டறியப்படாமல் இருக்க உதவுகின்றன.
பணிநீக்கம் மூலம் மீள்தன்மை
இந்த தீம்பொருள் திருட்டுத்தனத்தை மட்டும் நம்பியிருக்கவில்லை - இது உயிர்வாழ்வதற்காக உருவாக்கப்பட்டது. ResolverRAT தேவையற்ற நிலைத்தன்மை வழிமுறைகளுடன் பல-நிலை பூட்ஸ்ட்ராப்பிங் செயல்முறையைப் பயன்படுத்துகிறது, இது Windows கோப்பு முறைமை மற்றும் பதிவேட்டில் பல்வேறு இடங்களில் தன்னை உட்பொதிக்கிறது. தீம்பொருளின் ஒரு பகுதி அகற்றப்பட்டாலும், அது தன்னை மீண்டும் நிறுவ முடியும் என்பதை இது உறுதி செய்கிறது.
மேம்பட்ட C2 உள்கட்டமைப்பு: தெளிவான பார்வையில் மறைந்துள்ளது
செயல்பட்டவுடன், ResolverRAT அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பு கொள்ள சான்றிதழ் அடிப்படையிலான அங்கீகாரத்தைத் தொடங்குகிறது, இது ரூட் அதிகார சரிபார்ப்பைத் தவிர்க்கிறது. C2 சேவையகங்கள் அகற்றப்பட்டால் அவற்றை மாற்ற IP சுழற்சியைக் கூட இது கொண்டுள்ளது, இது கண்டறிதல் மற்றும் அகற்றுதல் முயற்சிகளை மேலும் சிக்கலாக்குகிறது.
ஏய்ப்புத் தேர்ச்சி: கண்ணுக்குத் தெரியாதது ஆனால் நிகழ்காலம்
ரேடாரின் கீழ் இருக்க, ResolverRAT சான்றிதழ் பின்னிங், மூலக் குறியீட்டை தெளிவின்மை செய்தல் மற்றும் ஒழுங்கற்ற பீக்கனிங் வடிவங்களைப் பயன்படுத்துகிறது. இந்த முறைகள் அவற்றின் இருப்பை மறைப்பது மட்டுமல்லாமல், பாதுகாப்பு அமைப்புகளில் பயன்படுத்தப்படும் நிலையான கண்டறிதல் நுட்பங்களையும் தோற்கடிக்கின்றன.
அமைதியான தரவு வெளியேற்றம்
இந்த தீம்பொருளின் முதன்மை நோக்கம் C2 சேவையகத்திலிருந்து கட்டளைகளைப் பெற்று தரவை வெளியேற்றுவதாகும். இது பெரிய தரவுக் கோப்புகளை 16 KB துண்டுகளாக புத்திசாலித்தனமாகப் பிரிக்கிறது, இதனால் நெட்வொர்க் கண்காணிப்பு கருவிகள் மூலம் கண்டறியும் அபாயத்தைக் குறைக்கிறது.
பண்புக்கூறு இன்னும் தெளிவாகத் தெரியவில்லை, ஆனால் வடிவங்கள் வெளிப்படுகின்றன
தாக்குதல் பிரச்சாரம் இன்னும் குறிப்பிடப்படவில்லை என்றாலும், உள்கட்டமைப்பு, கருப்பொருள்கள் மற்றும் நுட்பங்களில் உள்ள ஒற்றுமைகள் - குறிப்பாக DLL பக்க-ஏற்றுதல் மற்றும் ஃபிஷிங் கவர்ச்சிகளின் பயன்பாடு - முன்னர் ஆவணப்படுத்தப்பட்ட தாக்குதல்களுடன் சாத்தியமான இணைப்பைக் குறிக்கிறது. இந்த ஒன்றுடன் ஒன்று பகிரப்பட்ட இணைப்பு நெட்வொர்க் அல்லது ஒருங்கிணைந்த அச்சுறுத்தல் நடிகர் செயல்பாட்டைக் குறிக்கலாம்.
முடிவு: ஒரு தொடர்ச்சியான, தவிர்க்கும் சைபர் அச்சுறுத்தல்
ResolverRAT அடுத்த தலைமுறை தீம்பொருளுக்கு உதாரணமாக அமைகிறது - திருட்டுத்தனமான, தகவமைப்பு மற்றும் மீள்தன்மை கொண்டது. இதன் வடிவமைப்பு நவீன சைபர் பாதுகாப்பு பாதுகாப்புகள் பற்றிய அதிநவீன புரிதலை பிரதிபலிக்கிறது, இது இலக்கு வைக்கப்பட்ட தொழில்களுக்கு ஒரு வலிமையான அச்சுறுத்தலாகவும், பாதுகாப்பாளர்களுக்கு அதிக முன்னுரிமை அளிக்கும் கவலையாகவும் அமைகிறது.
