SuperBear RAT

தென் கொரிய சிவில் சமூக அமைப்புகளை மையமாகக் கொண்ட ஃபிஷிங் பிரச்சாரம், SuperBear என்ற பெயரிடப்பட்ட முன்னர் அறியப்படாத RAT (ரிமோட் அக்சஸ் ட்ரோஜன்) அச்சுறுத்தலை வெளியிட்டது. ஆகஸ்ட் 2023 இன் இறுதியில் சிதைக்கப்பட்ட LNK கோப்பைப் பெற்ற அடையாளம் தெரியாத செயல்பாட்டாளர் சம்பந்தப்பட்ட ஒரு சம்பவத்தில் பாதுகாப்பு நிபுணர்கள் இந்த அச்சுறுத்தலைக் கண்டறிந்துள்ளனர். ஏமாற்றும் அனுப்புநரின் மின்னஞ்சல் முகவரி, இலக்கு வைக்கப்பட்ட இலாப நோக்கற்ற அமைப்பின் உறுப்பினரைப் பிரதிபலிக்கிறது.

பல-நிலை தாக்குதல் சங்கிலி சூப்பர் பியர் பேலோடை வழங்குகிறது

செயல்படுத்தப்பட்டவுடன், LNK கோப்பு ஒரு விஷுவல் பேசிக் ஸ்கிரிப்ட்டின் செயல்பாட்டைத் தொடங்க பவர்ஷெல் கட்டளையைத் தூண்டுகிறது. இந்த ஸ்கிரிப்ட், முறையான மற்றும் சமரசம் செய்யப்பட்ட வேர்ட்பிரஸ் இணையதளத்தில் இருந்து அடுத்தடுத்த நிலை பேலோடுகளை மீட்டெடுக்கிறது.

இந்த பேலோடு இரண்டு கூறுகளை உள்ளடக்கியது: Autoit3.exe பைனரி, 'solmir.pdb' என அடையாளம் காணப்பட்டது மற்றும் 'solmir_1.pdb' எனப்படும் ஆட்டோஇட் ஸ்கிரிப்ட். முந்தையது பிந்தையவற்றுக்கான ஏவுதல் பொறிமுறையாக செயல்படுகிறது.

ஆட்டோஇட் ஸ்கிரிப்ட், செயல்முறை துளையிடல் எனப்படும் செயல்முறை ஊசி நுட்பத்தைப் பயன்படுத்துகிறது. இந்த நுட்பம் இடைநிறுத்தப்பட்ட செயல்பாட்டில் மோசமான குறியீட்டைச் செருகுவதை உள்ளடக்கியது. இந்த நிகழ்வில், இதுவரை பார்க்காத SuperBear RAT இன் ஊசியை எளிதாக்குவதற்கு Explorer.exe இன் புதிய நிகழ்வை இது உருவாக்குகிறது.

SuperBear RAT ஆனது சமரசம் செய்யப்பட்ட கணினிகளில் ஊடுருவும் செயல்களை செய்கிறது

SuperBear RAT மூன்று முதன்மை தாக்குதல் செயல்பாடுகளை மேற்கொள்கிறது: செயல்முறை மற்றும் கணினி தரவை வெளியேற்றுதல், ஷெல் கட்டளைகளை செயல்படுத்துதல் மற்றும் DLL ஐ இயக்குதல். முன்னிருப்பாக, C2 சேவையகம் வாடிக்கையாளர்களுக்கு கணினித் தரவை வெளியேற்றவும் செயலாக்கவும் அறிவுறுத்துகிறது, இது பெரும்பாலும் உளவு முயற்சிகளில் கவனம் செலுத்தும் தாக்குதல் பிரச்சாரங்களுடன் தொடர்புடையது.

கூடுதலாக, அச்சுறுத்தல் நடிகர்கள் ஷெல் கட்டளைகளை இயக்க RAT ஐ இயக்கலாம் அல்லது பாதிக்கப்பட்ட கணினியில் சமரசம் செய்யப்பட்ட DLL ஐ பதிவிறக்கம் செய்யலாம். DLL க்கு கோப்பு பெயர் தேவைப்படும் சந்தர்ப்பங்களில், அது சீரற்ற ஒன்றை உருவாக்க முயற்சிக்கும்; தோல்வியுற்றால், அது 'SuperBear' என்ற பெயருக்கு இயல்புநிலையாக மாறும். இந்த அச்சுறுத்தல் இந்த நடத்தையிலிருந்து அதன் பெயரைப் பெற்றது, அதன் டைனமிக் கோப்பு பெயர் உருவாக்க அணுகுமுறையை பிரதிபலிக்கிறது.

கிம்சுகி (APT43 என்றும் அல்லது எமரால்டு ஸ்லீட், நிக்கல் கிம்பால் மற்றும் வெல்வெட் சோல்லிமா போன்ற மாற்றுப்பெயர்களால் குறிப்பிடப்படும்) என அழைக்கப்படும் வட கொரிய தேசிய-அரசு நடிகருக்கு இந்த தாக்குதல் தற்காலிகமாக காரணம் என்று கூறப்படுகிறது. இந்த பண்பு ஆரம்ப தாக்குதல் திசையன் மற்றும் பவர்ஷெல் கட்டளைகளுக்கு இடையே உள்ள ஒற்றுமையிலிருந்து பெறப்பட்டது.

RAT அச்சுறுத்தல்களை சைபர் கிரைமினல்கள் நிகழ்ச்சி நிரலுக்கு ஏற்றவாறு தனிப்பயனாக்கலாம்

RAT (ரிமோட் அக்சஸ் ட்ரோஜன்) அச்சுறுத்தல்கள், சைபர் கிரைமினல்களின் நிகழ்ச்சி நிரலுக்கு ஏற்றவாறு தனிப்பயனாக்கப்படலாம், அவற்றின் பல்துறை மற்றும் மாற்றியமைக்கக்கூடிய தன்மை காரணமாக குறிப்பிடத்தக்க ஆபத்துகள் உள்ளன. அத்தகைய அச்சுறுத்தல்களுடன் தொடர்புடைய சில முக்கிய ஆபத்துகள் இங்கே:

• கட்டுப்பாடற்ற ரிமோட் கண்ட்ரோல் : RAT கள் சைபர் கிரைமினல்களுக்கு பாதிக்கப்பட்ட அமைப்புக்கு முழுமையான மற்றும் கட்டுப்பாடற்ற அணுகலை வழங்குகின்றன. இந்த அளவிலான கட்டுப்பாடு, தரவுத் திருட்டு, கண்காணிப்பு மற்றும் கணினி கையாளுதல் உள்ளிட்ட பலவிதமான தீங்கு விளைவிக்கும் செயல்களை, பாதிக்கப்பட்டவரின் அறிவு அல்லது ஒப்புதல் இல்லாமல் செய்ய அனுமதிக்கிறது.
• தரவு திருட்டு : சைபர் குற்றவாளிகள் தனிப்பட்ட தரவு, நிதி பதிவுகள், உள்நுழைவு சான்றுகள், அறிவுசார் சொத்து மற்றும் பல போன்ற முக்கியமான தகவல்களை சேகரிக்க RAT களைப் பயன்படுத்தலாம். சேகரிக்கப்பட்ட தரவு டார்க் வெப்பில் விற்கப்படலாம் அல்லது அடையாள திருட்டு, நிதி மோசடி அல்லது பெருநிறுவன உளவு போன்றவற்றுக்கு பயன்படுத்தப்படலாம்.
• உளவு மற்றும் கண்காணிப்பு : தனிப்பயனாக்கக்கூடிய RATகள் பெரும்பாலும் உளவு நோக்கங்களுக்காகப் பயன்படுத்தப்படுகின்றன, சைபர் குற்றவாளிகள் பாதிக்கப்பட்டவரின் செயல்பாடுகளைக் கண்காணிக்கவும் பதிவு செய்யவும், ஸ்கிரீன் ஷாட்களைப் பிடிக்கவும், விசை அழுத்தங்களைப் பதிவு செய்யவும் மற்றும் பாதிக்கப்பட்டவரின் வெப்கேம் மற்றும் மைக்ரோஃபோனைச் செயல்படுத்தவும் உதவுகிறது. இது தனியுரிமை மீறல்களையும், முக்கியமான தனிப்பட்ட அல்லது பெருநிறுவனத் தகவல்களின் சேகரிப்பையும் உருவாக்கலாம்.
• தொடர்ச்சியான அணுகல் : பாதிக்கப்பட்ட அமைப்பிற்கான தொடர்ச்சியான அணுகலைப் பராமரிக்க RATகள் வடிவமைக்கப்பட்டுள்ளன, இது இணைய குற்றவாளிகள் சமரசம் செய்யப்பட்ட சாதனத்தின் மீது நீண்ட காலத்திற்கு கட்டுப்பாட்டைப் பராமரிக்க அனுமதிக்கிறது. இந்த விடாமுயற்சி பாதிக்கப்பட்டவர்களுக்கு தீம்பொருளைக் கண்டறிந்து அகற்றுவதை சவாலாக ஆக்குகிறது, தாக்குபவர்களுக்கு கணினியில் தொடர்ந்து காலடி எடுத்து வைக்கிறது.
• பரப்புதல் மற்றும் பரப்புதல் : தனிப்பயனாக்கப்பட்ட RATகள் ஒரு நெட்வொர்க்கிற்குள் உள்ள பிற அமைப்புகளுக்கு பரவுவதற்கு திட்டமிடப்படலாம், இது பல சாதனங்கள் மற்றும் முழு நிறுவனங்களின் சமரசத்திற்கு வழிவகுக்கும். இது பரவலான சேதம், தரவு மீறல்கள் மற்றும் செயல்பாட்டு இடையூறுகளை விளைவிக்கும்.
• தனிப்பயனாக்கப்பட்ட தாக்குதல்கள் : சைபர் கிரைமினல்கள் குறிப்பிட்ட தாக்குதல் வெக்டர்களை இயக்குவதற்கு RATகளை வடிவமைக்க முடியும், இதனால் பாதுகாப்பு மென்பொருள் அவற்றைக் கண்டறிந்து தடுப்பதை கடினமாக்குகிறது. இந்த தாக்குதல்கள் குறிப்பிட்ட நிறுவனங்கள், தொழில்கள் அல்லது தனிநபர்களை குறிவைத்து, வெற்றிக்கான வாய்ப்புகளை அதிகரிக்கும் வகையில் வடிவமைக்கப்படலாம்.
• கண்டறிதலைத் தவிர்ப்பது : தனிப்பயனாக்கப்பட்ட RATகள், குறியாக்கம், தெளிவின்மை மற்றும் பாலிமார்பிசம் உள்ளிட்ட கண்டறிதல் எதிர்ப்பு நுட்பங்களை அடிக்கடி இணைத்து, அச்சுறுத்தலைக் கண்டறிந்து தணிக்க பாதுகாப்புத் தீர்வுகளுக்கு சவாலாக அமைகிறது. இது தாக்குபவர்கள் மறைந்திருக்கவும் நீண்ட காலத்திற்கு கண்டறிவதைத் தவிர்க்கவும் அனுமதிக்கிறது.
• Ransomware வரிசைப்படுத்தல் : ransomware பேலோடுகளை வழங்குவதற்கும், பாதிக்கப்பட்டவர்களை அவர்களின் சொந்த அமைப்புகளிலிருந்து பூட்டுவதற்கும் அல்லது அவர்களின் தரவை குறியாக்கம் செய்வதற்கும் RATகள் ஒரு வழிமுறையாகப் பயன்படுத்தப்படலாம். சைபர் கிரைமினல்கள் மறைகுறியாக்க விசைக்கு ஈடாக மீட்கும் தொகையைக் கோரலாம், இது நிதி மற்றும் செயல்பாட்டு இடையூறுகளை ஏற்படுத்துகிறது.
• பாட்நெட் உருவாக்கம் : பாதிக்கப்பட்ட சாதனங்களை ஒரு போட்நெட்டில் சேர்க்க தனிப்பயனாக்கக்கூடிய RAT கள் பயன்படுத்தப்படலாம், இது பல்வேறு தீங்கிழைக்கும் நோக்கங்களுக்காக பயன்படுத்தப்படலாம், அதாவது விநியோகிக்கப்பட்ட சேவை மறுப்பு (DDoS) தாக்குதல்கள், ஸ்பேம் விநியோகம் அல்லது தீம்பொருளை மேலும் பரப்புதல்.

சுருக்கமாக, சைபர் குற்றவாளிகளின் நோக்கங்களுக்கு ஏற்ப தனிப்பயனாக்கக்கூடிய RAT அச்சுறுத்தல்கள் பன்முக ஆபத்தை ஏற்படுத்துகின்றன, ஏனெனில் அவை தனிநபர்கள், நிறுவனங்கள் மற்றும் முழுத் துறைகளுக்கும் குறிப்பிடத்தக்க நிதி, செயல்பாட்டு மற்றும் நற்பெயருக்கு சேதம் விளைவிக்கும் சாத்தியக்கூறுகளுடன் பரந்த அளவிலான பாதுகாப்பற்ற நடவடிக்கைகளை செயல்படுத்துகின்றன. இந்த அச்சுறுத்தல்களை எதிர்த்துப் போராட, வழக்கமான புதுப்பிப்புகள், பணியாளர் பயிற்சி மற்றும் மேம்பட்ட அச்சுறுத்தல் கண்டறிதல் மற்றும் தடுப்பு கருவிகள் உள்ளிட்ட வலுவான இணைய பாதுகாப்பு நடவடிக்கைகள் அவசியம்.