SPICA பின்கதவு
அச்சுறுத்தல் நடிகர் COLDRIVER, ரஷ்யாவுடன் இணைக்கப்பட்டுள்ளது, நற்சான்றிதழ் அறுவடைக்கு அப்பால் அதன் செயல்பாடுகளை விரிவுபடுத்துவது கவனிக்கப்படுகிறது. ரஸ்ட் நிரலாக்க மொழியில் உருவாக்கப்பட்ட அதன் முதல் தனிப்பயன் தீம்பொருளை இது அறிமுகப்படுத்தியுள்ளது, இது SPICA பின்கதவாகக் கண்காணிக்கப்படுகிறது. COLDRIVER உடன் தொடர்புடைய தாக்குதல் உத்திகள், ஆள்மாறாட்டம் கணக்குகளில் இருந்து வரும் ஏமாற்றும் மின்னஞ்சல்களுடன், தொற்று வரிசையைத் தொடங்குவதற்கு PDFகளை சிதைக்கும் ஆவணங்களாகப் பயன்படுத்துகின்றன.
ப்ளூ காலிஸ்டோ, ப்ளூசார்லி (TAG-53), கலிஸ்டோ (கலிஸ்டோ), டான்சிங் சலோம், கோஸமர் பியர், ஸ்டார் ப்ளீஸ்ஸார்ட் (முன்னர் சீபோர்ஜியம்), TA446 மற்றும் UNC4057 என மாற்றாக அங்கீகரிக்கப்பட்ட COLDRIVER, 2019 ஆம் ஆண்டு முதல் செயல்பட்டு வருகிறது. கல்வித்துறை, பாதுகாப்பு, அரசு நிறுவனங்கள், அரசு சாரா நிறுவனங்கள், சிந்தனைக் குழுக்கள், அரசியல் நிறுவனங்கள், மேலும் சமீபத்தில், பாதுகாப்பு-தொழில்துறை மற்றும் எரிசக்தி வசதிகள் உட்பட.
மால்வேரை வழங்குவதற்கு கோல்ட்ரைவர் பயன்படுத்தும் ஸ்பியர்-ஃபிஷிங் உத்திகள்
குழுவால் மேற்கொள்ளப்படும் ஸ்பியர்-ஃபிஷிங் பிரச்சாரங்கள், அவர்களின் நற்சான்றிதழ்களை அறுவடை செய்வதற்கும் கணக்குகளுக்கான அணுகலைப் பெறுவதற்கும் போலி உள்நுழைவு பக்கங்களைப் பகிரும் இறுதி இலக்குடன், வருங்கால பாதிக்கப்பட்டவர்களுடன் ஈடுபடவும் நம்பிக்கையை வளர்க்கவும் வடிவமைக்கப்பட்டுள்ளது. சைபர் கிரைம் குழு, நடிகர்-கட்டுப்பாட்டு உள்கட்டமைப்பின் தானியங்கு ஸ்கேனிங்கைத் தடுப்பதற்கும், அவற்றை ஃபிஷிங் இறங்கும் பக்கங்களுக்குத் திருப்பிவிடுவதற்கு முன்பு ஆர்வத்தின் இலக்குகளைத் தீர்மானிப்பதற்கும் சர்வர் பக்க ஸ்கிரிப்ட்களைப் பயன்படுத்துவதைக் கவனிக்கிறது.
அச்சுறுத்தல் நடிகர், நவம்பர் 2022 வரை, கோப்புகளைத் திறப்பதற்கு இலக்குகளைத் தூண்டுவதற்கு ஒரு தொடக்க புள்ளியாக தீங்கற்ற PDF ஆவணங்களைப் பயன்படுத்துகிறார். COLDRIVER இந்த ஆவணங்களை ஒரு புதிய ஒப்-எட் அல்லது ஆள்மாறாட்டம் கணக்கு வெளியிட விரும்பும் மற்றொரு வகை கட்டுரையாக வழங்குகிறது, இது இலக்கிடம் இருந்து கருத்துக்களைக் கேட்கிறது. பயனர் தீங்கற்ற PDF ஐத் திறக்கும் போது, உரை மறைகுறியாக்கப்பட்டதாகத் தோன்றும்.
நிகழ்வில், பெறுநர் தங்களால் ஆவணத்தைப் படிக்க முடியாது எனக் கூறும் செய்திக்கு பதிலளிப்பார், மேலும் அச்சுறுத்தல் நடிகர் கிளவுட் ஸ்டோரேஜ் சேவையில் ஹோஸ்ட் செய்யப்பட்ட ஒரு உத்தேசிக்கப்பட்ட மறைகுறியாக்க கருவிக்கான ('Proton-decrypter.exe') இணைப்பைக் கொண்டு பதிலளிப்பார். 'Proton-decrypter.exe' என்ற பெயரின் தேர்வு குறிப்பிடத்தக்கது, ஏனெனில் எதிரிகள் ஃபிஷிங் செய்திகள் மூலம் PDF கவர்ச்சிகளை அனுப்ப புரோட்டான் டிரைவைப் பயன்படுத்துகின்றனர்.
ஸ்பிகா பின்கதவு ஒரு டிக்ரிப்டரின் போர்வையின் கீழ் கைவிடப்பட்டது
உண்மையில், டிஸ்க்ரிப்டர் SPICA எனப்படும் பின்கதவு அச்சுறுத்தலாக செயல்படுகிறது, இது COLDRIVER ஐ விவேகத்துடன் கணினியை அணுக அனுமதிக்கிறது, அதே நேரத்தில் ஏமாற்றத்தை பராமரிக்க ஒரு ஏமாற்று ஆவணத்தை அளிக்கிறது. SPICA, COLDRIVER இன் தொடக்க தனிப்பயன் தீம்பொருள், கட்டளை மற்றும் கட்டுப்பாட்டுக்கான (C2) WebSockets வழியாக JSON ஐப் பயன்படுத்துகிறது, இது தன்னிச்சையான ஷெல் கட்டளைகளை இயக்குதல், இணைய உலாவிகளில் இருந்து குக்கீகளைத் திருடுதல், கோப்புகளைப் பதிவேற்றுதல் மற்றும் பதிவிறக்குதல் மற்றும் தரவைக் கணக்கிடுதல் போன்ற பல்வேறு செயல்களை எளிதாக்குகிறது. திட்டமிடப்பட்ட பணியின் மூலம் நிலைத்தன்மை நிறுவப்படுகிறது.
செயல்படுத்தப்பட்டவுடன், SPICA ஒரு உட்பொதிக்கப்பட்ட PDF ஐ டிகோட் செய்து, அதை வட்டில் சேமித்து, பயனருக்கான டிகோயாக திறக்கும். அதே நேரத்தில், இது நிலைத்தன்மையை நிறுவுகிறது மற்றும் முதன்மை C2 வளையத்தைத் தொடங்குகிறது, பின்னணியில் செயல்படுத்துவதற்கான கட்டளைகளுக்காக காத்திருக்கிறது.
நவம்பர் 2022 இல் தேசிய-மாநில நடிகர் இந்த உள்வைப்பைப் பயன்படுத்தத் தொடங்கினார் என்பதற்கான சான்றுகள் தெரிவிக்கின்றன. சைபர் செக்யூரிட்டி குழு 'மறைகுறியாக்கப்பட்ட' PDF லூரின் பல மாறுபாடுகளை அடையாளம் கண்டுள்ளது, இது இலக்குகளுக்கு அனுப்பப்பட்ட குறிப்பிட்ட கவர்ச்சி ஆவணங்களுக்கு ஏற்ப வடிவமைக்கப்பட்ட SPICA இன் வெவ்வேறு பதிப்புகளின் சாத்தியமான இருப்பைக் குறிக்கிறது. .
என்ஜிஓக்கள், முன்னாள் உளவுத்துறை மற்றும் இராணுவ அதிகாரிகள், பாதுகாப்புத் துறைகள் மற்றும் நேட்டோ அரசாங்கங்களில் உள்ள முக்கிய நபர்கள் மீது கவனம் செலுத்தி, SPICA பின்கதவு அதிக இலக்கு மற்றும் வரையறுக்கப்பட்ட தாக்குதல்களில் பயன்படுத்தப்பட்டதாக ஆராய்ச்சியாளர்கள் சந்தேகிக்கின்றனர்.
