SPECTRALVIPER Malware
வியட்நாமிய பொது நிறுவனங்கள் SPECTRALVIPER எனப்படும் புதிதாக அடையாளம் காணப்பட்ட பின்கதவைப் பயன்படுத்தி அதிநவீன தாக்குதலுக்கு இலக்காகியுள்ளன. SPECTRALVIPER என்பது ஒரு மேம்பட்ட x64 பின்கதவு ஆகும், இது பெரிதும் தெளிவற்றது மற்றும் முன்னர் வெளியிடப்படவில்லை. இந்த அச்சுறுத்தும் கருவி PE ஏற்றுதல் மற்றும் ஊசி, கோப்பு பதிவேற்றம் மற்றும் பதிவிறக்கம், கோப்பு மற்றும் அடைவு கையாளுதல், அத்துடன் டோக்கன் ஆள்மாறாட்டம் உட்பட பல்வேறு திறன்களைக் கொண்டுள்ளது.
இந்த தாக்குதல்களுக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர் அடையாளம் காணப்பட்டு REF2754 என கண்காணிக்கப்பட்டுள்ளார். இந்த நடிகர் APT32 , கேன்வாஸ் சூறாவளி (முன்னர் பிஸ்மத்), கோபால்ட் கிட்டி மற்றும் ஓஷன் லோட்டஸ் உட்பட பல பெயர்களால் அறியப்படும் வியட்நாமிய அச்சுறுத்தல் குழுவுடன் தொடர்புடையவர். இது தற்போதைய பிரச்சாரத்திற்கும் இந்த அச்சுறுத்தல் குழுவின் செயல்பாடுகளுக்கும் இடையே உள்ள தொடர்பைப் பரிந்துரைக்கிறது.
பொருளடக்கம்
SPECTRALVIPER மற்ற மால்வேர் அச்சுறுத்தல்களுடன் பயன்படுத்தப்படுகிறது
DONUTLOADER ஐக் கொண்ட கையொப்பமிடாத DLL கோப்பை ஏற்றுவதற்கு வசதியாக SysInternals ProcDump பயன்பாட்டைப் பயன்படுத்துவது அச்சுறுத்தும் செயல்களில் அடங்கும். P8LOADER மற்றும் POWERSEAL போன்ற பிற மால்வேர் வகைகளுடன் SPECTRALVIPER ஐ ஏற்றுவதற்கு இந்த ஏற்றி குறிப்பாக கட்டமைக்கப்பட்டுள்ளது.
SPECTRALVIPER, ஏற்றப்பட்டதும், அச்சுறுத்தல் நடிகரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது. இது ஒரு செயலற்ற நிலையில் உள்ளது, மேலும் அறிவுறுத்தல்களுக்காக காத்திருக்கிறது. பகுப்பாய்வைத் தவிர்க்க, SPECTRALVIPER கட்டுப்பாட்டு ஓட்டம் தட்டையாக்குதல் போன்ற தெளிவற்ற நுட்பங்களைப் பயன்படுத்துகிறது, அதன் செயல்பாட்டைப் புரிந்துகொள்வது மிகவும் சவாலானது.
C++ இல் எழுதப்பட்ட P8LOADER, ஒரு கோப்பிலிருந்து அல்லது நேரடியாக நினைவகத்திலிருந்து தன்னிச்சையான பேலோடுகளை இயக்கும் திறனைக் கொண்டுள்ளது. கூடுதலாக, அச்சுறுத்தல் நடிகர்கள் POWERSEAL எனப்படும் தனிப்பயனாக்கப்பட்ட பவர்ஷெல் ரன்னரைப் பயன்படுத்துகின்றனர், இது வழங்கப்பட்ட பவர்ஷெல் ஸ்கிரிப்டுகள் அல்லது கட்டளைகளை செயல்படுத்துவதில் நிபுணத்துவம் பெற்றது.
ஸ்பெக்ட்ரல்விப்பரில் பல அச்சுறுத்தும் திறன்கள் காணப்படுகின்றன
SPECTRALVIPER அதன் தீங்கு விளைவிக்கும் செயல்களுக்கு பங்களிக்கும் திறன்களின் வரம்பை வெளிப்படுத்துகிறது. அதன் PE ஏற்றுதல் மற்றும் உட்செலுத்துதல் செயல்பாட்டின் மூலம், SPECTRALVIPER x86 மற்றும் x64 கட்டமைப்புகள் இரண்டையும் ஆதரிக்கும், இயங்கக்கூடிய கோப்புகளை ஏற்றலாம் மற்றும் உட்செலுத்தலாம். இந்த அம்சம் தீம்பொருளை முறையான செயல்முறைகளுக்குள் மோசமான குறியீட்டைச் செயல்படுத்த உதவுகிறது, அதன் செயல்பாடுகளை திறம்பட மறைக்கிறது மற்றும் கண்டறிதலைத் தவிர்க்கிறது.
SPECTRALVIPER இன் மற்றொரு குறிப்பிடத்தக்க திறன் பாதுகாப்பு டோக்கன்களைப் போல ஆள்மாறாட்டம் செய்யும் திறன் ஆகும். இந்த டோக்கன்களை ஆள்மாறாட்டம் செய்வதன் மூலம், தீம்பொருள் உயர்ந்த சலுகைகளைப் பெறலாம், சில பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்கலாம். இந்த அங்கீகரிக்கப்படாத அணுகல் தாக்குபவர்களுக்கு உணர்திறன் வாய்ந்த ஆதாரங்களைக் கையாளும் திறனை வழங்குகிறது மற்றும் அவர்களின் அங்கீகரிக்கப்பட்ட எல்லைக்கு அப்பாற்பட்ட செயல்களைச் செய்கிறது.
மேலும், SPECTRALVIPER ஆனது சமரசம் செய்யப்பட்ட கணினியிலிருந்து கோப்புகளை பதிவிறக்கம் செய்து பதிவேற்றும் திறனைக் கொண்டுள்ளது. இந்த செயல்பாடு, தாக்குபவர் பாதிக்கப்பட்டவரின் இயந்திரத்திலிருந்து முக்கியமான தரவை வெளியேற்ற அல்லது கூடுதல் தீங்கிழைக்கும் பேலோடுகளை வழங்க அனுமதிக்கிறது, சமரசம் செய்யப்பட்ட சூழலில் அவர்களின் கட்டுப்பாட்டையும் நிலைத்தன்மையையும் விரிவுபடுத்துகிறது.
கூடுதலாக, பின்கதவு சமரசம் செய்யப்பட்ட கணினியில் கோப்புகள் மற்றும் கோப்பகங்களை கையாள முடியும். கோப்புகள் அல்லது கோப்பகங்களை உருவாக்குதல், நீக்குதல், மாற்றுதல் மற்றும் நகர்த்துதல் ஆகியவை இதில் அடங்கும். பாதிக்கப்பட்டவரின் கோப்பு முறைமையின் மீது கட்டுப்பாட்டைப் பயன்படுத்துவதன் மூலம், தாக்குபவர் தங்கள் நோக்கங்களுக்கு ஏற்ப கோப்புகளையும் கோப்பகங்களையும் கையாளவும் கையாளவும் விரிவான அதிகாரத்தைப் பெறுகிறார்.
இந்தத் திறன்கள் ஸ்பெக்ட்ரல்விப்பரால் முன்வைக்கப்படும் அச்சுறுத்தலுக்கு கூட்டாக பங்களிக்கின்றன, சமரசம் செய்யப்பட்ட அமைப்பின் மீது நிலைத்தன்மையையும் கட்டுப்பாட்டையும் பராமரிக்கும் போது, தாக்குபவர் பல்வேறு பாதுகாப்பற்ற செயல்களைச் செய்ய உதவுகிறது.
பிற சைபர் கிரைமினல் குழுக்களுடன் சாத்தியமான இணைப்பு
குறிப்பிடத்தக்க வகையில், REF2754 உடன் தொடர்புடைய செயல்பாடுகள் REF4322 என குறிப்பிடப்படும் மற்றொரு அச்சுறுத்தல் குழுவுடன் தந்திரோபாய ஒற்றுமையை வெளிப்படுத்துகின்றன. பிந்தைய குழு முதன்மையாக வியட்நாமிய நிறுவனங்களை குறிவைத்து, PHOREAL (ரிஸ்ஸோ என்றும் அழைக்கப்படுகிறது) எனப்படும் சுரண்டலுக்குப் பிந்தைய உள்வைப்பைப் பயன்படுத்துவதற்கு அறியப்படுகிறது.
இந்த இணைப்புகள் REF4322 மற்றும் REF2754 செயல்பாட்டுக் குழுக்கள் இரண்டும் மாநிலத்துடன் இணைந்த வியட்நாமிய அச்சுறுத்தல் நிறுவனத்தால் திட்டமிடப்பட்ட ஒருங்கிணைந்த பிரச்சாரங்களைக் குறிக்கலாம் என்ற கருதுகோளுக்கு வழிவகுத்தது. இந்த சாத்தியக்கூறுகளின் தாக்கங்கள், இந்த அதிநவீன மற்றும் இலக்கு சைபர் நடவடிக்கைகளில் தேசிய-அரசு நடிகர்களின் சாத்தியமான ஈடுபாட்டை அடிக்கோடிட்டுக் காட்டுகிறது.
