RTX RAT

CPUID சம்பந்தப்பட்ட ஒரு பாதுகாப்புச் சம்பவம், அதன் அதிகாரப்பூர்வ இணையதளமான cpuid.com வழியாகப் பயனர்களைத் தீங்கிழைக்கும் மென்பொருளுக்கு ஆளாக்கியது. 24 மணி நேரத்திற்கும் குறைவான காலத்திற்குள், அச்சுறுத்தல் செய்பவர்கள் பதிவிறக்க இணைப்புகளை வெற்றிகரமாகக் கையாண்டு, பரவலாகப் பயன்படுத்தப்படும் வன்பொருள் கண்காணிப்புக் கருவிகளின் பாதிக்கப்பட்ட பதிப்புகளை விநியோகித்தனர்.

இந்த ஊடுருவல் ஏப்ரல் 9 அன்று 15:00 UTC மணிக்கும் ஏப்ரல் 10 அன்று 10:00 UTC மணிக்கும் இடையில் நிகழ்ந்தது. அப்போது, முறையான இன்ஸ்டாலர் இணைப்புகள் அவ்வப்போது தீங்கிழைக்கும் திசைதிருப்பல்களால் மாற்றப்பட்டன. முக்கியமாக, CPUID தனது அசல் கையொப்பமிடப்பட்ட பைனரிகள் அப்படியே இருந்ததாக உறுதிப்படுத்தியது. ஏனெனில், இந்த மீறலானது மைய மென்பொருளையே மாற்றுவதற்குப் பதிலாக, இணையதளத்தில் தீங்கிழைக்கும் இணைப்புகளைத் தோராயமாகக் காண்பிக்கச் செய்த ஒரு இரண்டாம் நிலை அம்சம், அதாவது ஒரு சைடு ஏபிஐ (side API) காரணமாக ஏற்பட்டது.

தீங்கிழைக்கும் உள்கட்டமைப்பு: தாக்குதலுக்குப் பின்னால் உள்ள தீய டொமைன்கள்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களின் விசாரணைகள், ட்ரோஜன்மயமாக்கப்பட்ட கோப்புகளை ஹோஸ்ட் செய்வதற்கும் வழங்குவதற்கும் பயன்படுத்தப்பட்ட பல டொமைன்களை அடையாளம் கண்டன. இந்தத் தீங்கிழைக்கும் இணையதளங்கள், சந்தேகப்படாத பயனர்களைப் பாதிக்கப்பட்ட பதிவிறக்கங்களுக்குத் திசைதிருப்புவதில் முக்கியப் பங்கு வகித்தன:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• வாட்ரோபிரான்[.]மணி

இந்த டொமைன்கள், தீம்பொருள் விநியோகம் மற்றும் கட்டளை-கட்டுப்பாட்டு செயல்பாடுகளை ஆதரிப்பதற்காக வடிவமைக்கப்பட்ட ஒரு பரந்த உள்கட்டமைப்பின் பகுதியாக அமைந்தன.

மறைமுக விநியோக முறை: DLL பக்கவாட்டு ஏற்றல் முறைகேடு

தாக்குதல் நடத்தியவர்கள், DLL சைடு-லோடிங் எனப்படும் நன்கு அறியப்பட்ட ஒரு ஏமாற்று நுட்பத்தைப் பயன்படுத்தினர். அந்தத் தீங்கிழைக்கும் தொகுப்புகள், ZIP காப்பகங்களாகவும் மற்றும் தனித்த நிறுவிகளாகவும் விநியோகிக்கப்பட்டன; அவற்றில் ஒவ்வொன்றும் இரண்டு கூறுகளைக் கொண்டிருந்தன: முறையான, கையொப்பமிடப்பட்ட இயக்கக்கூடிய கோப்பு மற்றும் 'CRYPTBASE.dll' எனப் பெயரிடப்பட்ட ஒரு முறைகேடான டைனமிக் லிங்க் லைப்ரரி.

கையொப்பமிடப்பட்ட பைனரிகள் மீது வைக்கப்பட்டிருந்த நம்பிக்கையைத் தவறாகப் பயன்படுத்தி, தீங்கிழைக்கும் DLL நிரலானது செயலாக்கத்தின் போது ஏற்றப்பட்டு, மறைமுகமான ஊடுருவலுக்கு வழிவகுத்தது. மேலதிக நடவடிக்கைகளைத் தொடங்குவதற்கு முன்பு, அந்த மால்வேர் பகுப்பாய்வுச் சூழல்களில் கண்டறியப்படுவதைத் தவிர்ப்பதற்காக ஆன்டி-சாண்ட்பாக்ஸ் சோதனைகளை நடத்தியது. இந்தச் சோதனைகளில் தேர்ச்சி பெற்றவுடன், அது கூடுதல் தரவுகளைப் பெறுவதற்காக ஒரு வெளிப்புற சேவையகத்தைத் தொடர்புகொண்டது.

STX RAT வரிசைப்படுத்தல்: ஒரு பன்முகத்தன்மை வாய்ந்த சுரண்டலுக்குப் பிந்தைய கருவி

இந்த நடவடிக்கையின் இறுதி நோக்கம், மறைக்கப்பட்ட மெய்நிகர் வலையமைப்பு கணினி (HVNC) திறன்கள் மற்றும் விரிவான தரவு திருட்டுச் செயல்பாடுகளைக் கொண்ட, சக்திவாய்ந்த தொலைநிலை அணுகல் ட்ரோஜனான STX RAT-ஐப் பரப்புவதே ஆகும்.

இந்த தீம்பொருள், தாக்குபவர்கள் பாதிக்கப்பட்ட கணினிகள் மீது தொடர்ச்சியான கட்டுப்பாட்டைப் பராமரிக்கவும், பின்வருவன உள்ளிட்ட பல்வேறு சுரண்டலுக்குப் பிந்தைய செயல்பாடுகளைச் செய்யவும் உதவுகிறது:

• EXE, DLL, PowerShell ஸ்கிரிப்டுகள் மற்றும் ஷெல்கோடு ஆகியவற்றை நினைவகத்தில் இயக்குதல்
• ரிவர்ஸ் ப்ராக்ஸிங் மற்றும் நெட்வொர்க் டனலிங்
• தொலைநிலை டெஸ்க்டாப் தொடர்பு மற்றும் கண்காணிப்பு

இத்தகைய திறன்கள், STX RAT-ஐ தனிநபர் மற்றும் பெருநிறுவனச் சூழல்கள் ஆகிய இரண்டிலும் குறிப்பாக அபாயகரமானதாக ஆக்குகின்றன.

பிரச்சார ஒன்றிணைப்பு: முந்தைய FileZilla தாக்குதல்களுக்கான இணைப்புகள்

இந்தச் சம்பவத்தில் பயன்படுத்தப்பட்ட கட்டளை மற்றும் கட்டுப்பாட்டு (C2) உள்கட்டமைப்பு, ஃபைல்ஸில்லாவின் ட்ரோஜன்மயமாக்கப்பட்ட நிறுவிகளை உள்ளடக்கிய ஒரு தனிப்பட்ட பிரச்சாரத்துடன் முன்னர் தொடர்புடையதாக இருந்தது என்று பகுப்பாய்வில் தெரியவந்தது. அதே சேவையக உள்ளமைவுகள் மற்றும் தகவல் தொடர்பு களங்களின் மறுபயன்பாடு, இரு பிரச்சாரங்களுக்கும் இடையே செயல்பாட்டு ரீதியான ஒன்றுடன் ஒன்று கலப்பு இருந்ததை வலுவாகச் சுட்டிக்காட்டுகிறது.

தந்திரங்கள், நுட்பங்கள் மற்றும் உள்கட்டமைப்புகளின் இந்தத் தொடர் பயன்பாடு, குற்றத்தைக் கண்டறிவதற்கும் அதற்குக் காரணமானவர்களை அடையாளம் காண்பதற்கும் மதிப்புமிக்க குறிகாட்டிகளை வழங்கியது.

நீண்ட கால செயல்பாடு: 10 மாத கால அட்டவணை

மேலதிக விசாரணையில், இந்த CPUID மீறல் என்பது ஜூலை 2025-இல் தொடங்கிய ஒரு பரந்த நடவடிக்கையின் ஒரு பகுதி என்று தெரியவந்துள்ளது. 'superbad.exe' என அடையாளம் காணப்பட்ட, அறியப்பட்டதிலேயே மிகப் பழமையான தீம்பொருள் மாதிரியானது, 95.216.51.236 என்ற முகவரியில் உள்ள ஒரு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்வது அவதானிக்கப்பட்டது.

இந்த அச்சுறுத்தலைச் செய்பவர் ரஷ்ய மொழி பேசக்கூடியவராகவும், நிதி ஆதாயம் பெறும் நோக்கத்துடனும் இருக்கலாம் அல்லது கணினி அமைப்புகளில் ஊடுருவி, அந்த அணுகலை மற்ற இணையக் குற்றவாளிகளுக்கு விற்பனை செய்வதில் நிபுணத்துவம் பெற்ற ஒரு அமைப்பான ஆரம்ப அணுகல் தரகராகச் செயல்படலாம் என்றும் பாதுகாப்பு வல்லுநர்கள் மதிப்பிடுகின்றனர்.

தாக்க மதிப்பீடு: பல்வேறு பாதிக்கப்பட்டவர்களை உலகளாவிய அளவில் சென்றடைதல்

இந்தத் தாக்குதலால் 150-க்கும் மேற்பட்டோர் பாதிக்கப்பட்டது உறுதிசெய்யப்பட்டுள்ளது, இவர்களில் பெரும்பாலானோர் தனிப்பட்ட பயனர்கள் ஆவர். இருப்பினும், சில்லறை வணிகம், உற்பத்தி, ஆலோசனை, தொலைத்தொடர்பு மற்றும் விவசாயத் துறைகள் உட்பட பல்வேறு தொழில்துறைகளைச் சேர்ந்த நிறுவனங்களும் பாதிப்புக்குள்ளாகியுள்ளன.

புவியியல் ரீதியாக, பெரும்பாலான தொற்றுகள் பிரேசில், ரஷ்யா மற்றும் சீனாவில் கண்டறியப்பட்டுள்ளன. இது ஒரு பரந்த மற்றும் சந்தர்ப்பவாத இலக்கு உத்தியைக் குறிக்கிறது.

செயல்பாட்டுக் குறைபாடுகள்: கண்டறிதலுக்கு வழிவகுத்த பிழைகள்

இந்தத் தாக்குதலின் அளவு பெரிதாக இருந்தபோதிலும், பல செயல்பாட்டுப் பாதுகாப்புத் தோல்விகள் தாக்குதல்காரர்களின் செயல்திறனைக் கணிசமாகக் குறைத்தன. முந்தைய தாக்குதல்களில் இருந்து ஒரே மாதிரியான தொற்றுச் சங்கிலிகள், STX RAT பேலோடுகள் மற்றும் கட்டளை-கட்டுப்பாட்டுக் களங்கள் மீண்டும் பயன்படுத்தப்பட்டதால், இந்தச் செயல்பாட்டைக் கண்காணிப்பதும் தொடர்புபடுத்துவதும் எளிதாகியது.

இந்தக் குறைபாடுகள், தீம்பொருள் உருவாக்கம் மற்றும் செயல்படுத்தும் நடைமுறைகளில் ஒப்பீட்டளவில் குறைந்த நுட்பமே இருப்பதைக் காட்டுகின்றன. இதன் விளைவாக, பாதுகாவலர்களால் வாட்டரிங் ஹோல் தாக்குதல் தொடங்கிய உடனேயே அதைக் கண்டறிய முடிந்தது, இதனால் அதன் ஒட்டுமொத்தத் தாக்கத்தையும் பாதிப்புக் காலத்தையும் கட்டுப்படுத்த முடிந்தது.