SIGNBT மால்வேர்
வட கொரியாவுடன் தொடர்புடைய லாசரஸ் குழு சமீபத்தில் இணைய பிரச்சாரத்தின் குற்றவாளியாக அடையாளம் காணப்பட்டுள்ளது. இந்தச் செயல்பாட்டில், ஒரு முக்கிய மென்பொருளில் உள்ள நன்கு அறியப்பட்ட பாதுகாப்பு குறைபாடுகளைப் பயன்படுத்தி, ஒரு அடையாளம் தெரியாத மென்பொருள் விற்பனையாளர் தாக்குதலுக்கு பலியானார். இந்தத் தொடர் தாக்குதல்கள் இறுதியில் SIGNBT உட்பட அச்சுறுத்தும் மென்பொருள் குடும்பங்களின் அறிமுகத்திற்கு வழிவகுத்தது.
மேலும், தாக்குபவர்கள் இந்த அச்சுறுத்தல் நடிகரால் பொதுவாகப் பயன்படுத்தப்படும் பரவலாக அங்கீகரிக்கப்பட்ட ஹேக்கிங் கருவியைப் பயன்படுத்தி, சாத்தியமான பாதிக்கப்பட்டவர்களின் விவரக்குறிப்பு மற்றும் பேலோடுகளை வழங்குதல் போன்ற செயல்களுக்குப் பயன்படுத்தினர். கண்காணிப்பு முயற்சிகளில் இந்தக் கருவி LPEClient என குறிப்பிடப்படுகிறது.
பொருளடக்கம்
APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) ஹேக்கர் குழு அதே பாதிக்கப்பட்டவரை மீண்டும் மீண்டும் குறிவைத்தது
இந்த தாக்குதலில் SIGNBT தீம்பொருளின் பயன்பாடு பன்முக தொற்று செயல்முறையை நிரூபித்தது மற்றும் மேம்பட்ட நுட்பங்களைப் பயன்படுத்தியது. மற்ற மென்பொருள் உருவாக்குநர்களை சமரசம் செய்யும் நோக்கத்துடன் இலக்கு வைக்கப்பட்ட நிறுவனத்தின் மென்பொருளில் உள்ள பாதிப்புகளை லாசரஸ் குழுமம் தொடர்ந்து பயன்படுத்துகிறது. அவர்களின் சமீபத்திய நடவடிக்கைகளில், ஜூலை 2023 நடுப்பகுதியில் பல பாதிக்கப்பட்டவர்கள் அடையாளம் காணப்பட்டுள்ளனர்.
இந்த பாதிக்கப்பட்டவர்கள் டிஜிட்டல் சான்றிதழ்கள் மூலம் இணைய தகவல்தொடர்புகளை குறியாக்க வடிவமைக்கப்பட்ட முறையான பாதுகாப்பு மென்பொருள் மூலம் தாக்குதலுக்கு உள்ளாகினர். மென்பொருளின் பெயர் வெளியிடப்படவில்லை, மேலும் SIGNBT ஐ விநியோகிக்க ஆயுதம் ஏந்திய துல்லியமான முறை வெளியிடப்படவில்லை.
சமரசம் செய்யப்பட்ட கணினிகளில் காலூன்றுவதை நிறுவுவதற்கும் பராமரிப்பதற்கும் பலவிதமான உத்திகளைப் பயன்படுத்துவதோடு, SIGNBT மால்வேரைத் தொடங்குவதற்கான ஒரு வழித்தடமாக செயல்பட்ட இன்-மெமரி லோடரை தாக்குதல் காட்சிகள் பயன்படுத்துகின்றன.
கூடுதல் வழிமுறைகளுக்கு SIGNBT மால்வேர் C2 சேவையகத்தைத் தொடர்பு கொள்கிறது
SIGNBT இன் முதன்மை நோக்கம் தொலை சேவையகத்துடன் தொடர்பை ஏற்படுத்துவது மற்றும் பாதிக்கப்பட்ட ஹோஸ்டில் செயல்படுத்துவதற்கான கூடுதல் வழிமுறைகளை மீட்டெடுப்பதாகும். இந்த தீம்பொருள் அதன் HTTP-அடிப்படையிலான கட்டளை மற்றும் கட்டுப்பாடு (C2) தகவல்தொடர்புகளில் "SIGNBT" உடன் முன்னொட்டாக உள்ள தனித்துவமான சரங்களைப் பயன்படுத்துவதன் மூலம் அதன் பெயரைப் பெறுகிறது:
- ஆரம்ப இணைப்பிற்கு SIGNBTLG
- SIGNBTKE, C2 சேவையகத்திலிருந்து ஒரு வெற்றிகரமான செய்தியைப் பெற்றவுடன் கணினி மெட்டாடேட்டாவைச் சேகரிப்பதற்காக
- SIGNBTGC, கட்டளைகளைப் பெறுவதற்கு
- SIGNBTFI, தொடர்பு தோல்விகளைக் கையாளும்
- SIGNBTSR, வெற்றிகரமான தொடர்பைக் குறிக்கும்
இதற்கிடையில், விண்டோஸ் பின்கதவு பாதிக்கப்பட்டவரின் கணினியின் மீது கட்டுப்பாட்டைப் பெறுவதை நோக்கமாகக் கொண்ட பரந்த அளவிலான திறன்களைக் கொண்டுள்ளது. இந்த திறன்களில் செயல்முறைகளை கணக்கிடுதல், கோப்பு மற்றும் கோப்பக செயல்பாடுகளை செய்தல் மற்றும் LPEClient போன்ற பேலோடுகளை பயன்படுத்துதல் மற்றும் நற்சான்றிதழ்களை பிரித்தெடுப்பதற்கான பிற கருவிகள் ஆகியவை அடங்கும்.
லாசரஸ் குழு அதன் நுட்பங்களையும் மால்வேர் ஆர்சனலையும் தொடர்ந்து மேம்படுத்துகிறது
2023 இல், ஆராய்ச்சியாளர்கள் குறைந்தபட்சம் மூன்று தனித்துவமான லாசரஸ் பிரச்சாரங்களை அடையாளம் கண்டுள்ளனர். இந்த பிரச்சாரங்களில் பல்வேறு ஊடுருவல் முறைகள் மற்றும் தொற்று நடைமுறைகள் பயன்படுத்தப்பட்டன. இருப்பினும், அவர்கள் இறுதி கட்ட பாதுகாப்பற்ற மென்பொருளை வழங்குவதற்கு LPEClient தீம்பொருளை தொடர்ந்து பயன்படுத்தினர்.
இந்த பிரச்சாரங்களில் ஒன்று கோபுரம் எனப்படும் உள்வைப்பை அறிமுகப்படுத்துவதில் முக்கிய பங்கு வகித்தது. இந்த உள்வைப்பு, 3CX குரல் மற்றும் வீடியோ கான்பரன்சிங் மென்பொருளின் சிதைந்த பதிப்பைப் பயன்படுத்தி, கிரிப்டோகரன்சி நிறுவனங்களில் இயக்கப்பட்ட சைபர் தாக்குதல்களில் பயன்படுத்தப்பட்டது.
இந்த சமீபத்திய கண்டுபிடிப்புகள் நடந்து வரும் வட கொரிய-இணைக்கப்பட்ட இணைய செயல்பாடுகளை எடுத்துக்காட்டுகின்றன மற்றும் லாசரஸ் குழுமத்தின் தொடர்ச்சியான வளர்ச்சி மற்றும் கருவிகள், உத்திகள் மற்றும் நுட்பங்களின் ஆயுதக் களஞ்சியத்தின் விரிவாக்கத்தை அடிக்கோடிட்டுக் காட்டுகின்றன. லாசரஸ் குழுமம் சமகால இணைய பாதுகாப்பு நிலப்பரப்பில் செயலில் மற்றும் மாற்றியமைக்கக்கூடிய அச்சுறுத்தல் நடிகராக உள்ளது.
