TA416 ஃபிஷிங் தாக்குதல்

இப்பகுதியில் கிட்டத்தட்ட இரண்டு ஆண்டுகளாகச் செயல்பாடுகள் குறைந்திருந்ததைத் தொடர்ந்து, 2025-ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து, சீனாவுடன் இணைந்த ஒரு அச்சுறுத்தல் சக்தி, ஐரோப்பிய அரசாங்கங்கள் மற்றும் தூதரக அமைப்புகளை வலுவாகக் குறிவைத்து மீண்டும் வெளிப்பட்டுள்ளது. இந்தத் தாக்குதல் நடவடிக்கையானது, DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 மற்றும் Vertigo Panda ஆகியவற்றுடன் தொடர்புடைய TA416 என்ற அச்சுறுத்தல் குழுமத்தால் முன்னெடுக்கப்படுவதாகக் கூறப்படுகிறது.

இந்த நடவடிக்கைகள், முதன்மையாகப் பல நாடுகளில் உள்ள ஐரோப்பிய ஒன்றியம் மற்றும் நேட்டோவுடன் தொடர்புடைய தூதரகங்களைக் குறிவைத்துள்ளன. இந்தத் தாக்குதல் நடவடிக்கைகள், இணையப் பிழைகளைக் கண்காணித்தல் மற்றும் தீம்பொருள் பரப்புதல் ஆகியவற்றை உள்ளடக்கிய ஒருங்கிணைந்த அலைகளைக் கொண்டுள்ளன; இது ஒரு கட்டமைக்கப்பட்ட மற்றும் தொடர்ச்சியான உளவுத் தகவல் சேகரிப்பு முயற்சியைச் சுட்டிக்காட்டுகிறது.

புவிசார் அரசியல் பதட்டங்களால் உந்தப்படும் விரிவடையும் நோக்கம்

பிப்ரவரி 2026-ல் அமெரிக்கா-இஸ்ரேல்-ஈரான் மோதல் தீவிரமடைந்ததைத் தொடர்ந்து, TA416 தனது செயல்பாட்டு எல்லையை ஐரோப்பாவிற்கு அப்பால் விரிவுபடுத்தி, மத்திய கிழக்கில் உள்ள அரசாங்க மற்றும் தூதரக அமைப்புகளுக்கு எதிராகப் போர்த் தாக்குதல்களைத் தொடங்கியுள்ளது.

இந்த விரிவாக்கம், முக்கியமான பிராந்திய உளவுத் தகவல்களைச் சேகரிப்பதற்கான ஒரு மூலோபாய முயற்சியைப் பிரதிபலிப்பதோடு, மாறிவரும் புவிசார் அரசியல் நிகழ்வுகளுடன் அக்குழுவின் இலக்கு நிர்ணய முன்னுரிமைகள் எவ்வாறு நெருக்கமாகப் பொருந்துகின்றன என்பதையும் எடுத்துக்காட்டுகிறது.

ஒன்றோடொன்று மேலெழும் அச்சுறுத்தல் சூழல் அமைப்புகள் மற்றும் பகிரப்பட்ட நுட்பங்கள்

TA416 ஆனது, மஸ்டாங் பாண்டா (Mustang Panda) எனப் பொதுவாக அறியப்படும் மற்றொரு மேம்பட்ட அச்சுறுத்தல் குழுமத்துடன் குறிப்பிடத்தக்க தொழில்நுட்ப ஒற்றுமைகளைப் பகிர்ந்து கொள்கிறது. இது செரினாகீப்பர் (CerenaKeeper), ரெட் இஷ்தார் (Red Ishtar), மற்றும் UNK_ஸ்டெடிஸ்பிளிட் (UNK_SteadySplit) என்றும் குறிப்பிடப்படுகிறது. இவ்விரு குழுக்களும் எர்த் பிரேட்டா (Earth Preta), ஹைவ்0154 (Hive0154), ஹனிமைட் (HoneyMyte), ஸ்டேட்லி டாரஸ் (Stately Taurus), டெம்ப்.ஹெக்ஸ் (Temp.HEX), மற்றும் ட்வில் டைஃபூன் (Twill Typhoon) போன்ற பரந்த வகைப்பாடுகளின் கீழ் கூட்டாகக் கண்காணிக்கப்படுகின்றன.

TA416 முதன்மையாகத் தனிப்பயனாக்கப்பட்ட PlugX தீம்பொருள் வகைகளுடன் தொடர்புடையதாக இருந்தாலும், மஸ்டாங் பாண்டா TONESHELL, PUBLOAD மற்றும் COOLCLIENT போன்ற கருவிகளை அடிக்கடி பயன்படுத்துகிறது. இந்த வேறுபாடுகள் இருந்தபோதிலும், இரு குழுக்களும் DLL சைடு-லோடிங்கை ஒரு முக்கியச் செயலாக்க நுட்பமாகப் பெரிதும் சார்ந்துள்ளன, இது பகிரப்பட்ட செயல்பாட்டு வழிமுறைகளை வெளிப்படுத்துகிறது.

தகவமைப்பு நோய்த்தொற்று சங்கிலிகள் மற்றும் விநியோக நுட்பங்கள்

TA416 தனது தொற்றுச் சங்கிலிகளைத் தொடர்ந்து மேம்படுத்துவதன் மூலம் உயர் அளவிலான நெகிழ்வுத்தன்மையை வெளிப்படுத்தியுள்ளது. அதன் தாக்குதல் முயற்சிகள் முழுவதும் காணப்பட்ட உத்திகளில், கிளவுட்ஃபிளேர் டர்ன்ஸ்டைல் சரிபார்ப்புப் பக்கங்களைத் தவறாகப் பயன்படுத்துதல், OAuth வழிமாற்று வழிமுறைகளைச் சுரண்டுதல் மற்றும் தீங்கிழைக்கும் C# திட்டக் கோப்புகளைப் பயன்படுத்துதல் ஆகியவை அடங்கும்.

இந்தக் குழு, இலவச மின்னஞ்சல் கணக்குகளிலிருந்து அனுப்பப்படும் ஃபிஷிங் மின்னஞ்சல்கள் மூலம் தீம்பொருளைப் பரப்புகிறது. இந்தச் செய்திகளில் பெரும்பாலும், மைக்ரோசாஃப்ட் அஸூர் பிளாப் ஸ்டோரேஜ், கூகுள் டிரைவ், தாக்குதல் நடத்துபவரின் கட்டுப்பாட்டில் உள்ள டொமைன்கள் அல்லது ஊடுருவப்பட்ட ஷேர்பாயிண்ட் சூழல்கள் போன்ற தளங்களில் உள்ள தீங்கிழைக்கும் காப்பகங்களுக்கான இணைப்புகள் அடங்கியிருக்கும்.

மின்னஞ்சல்களில் பதிக்கப்பட்டிருக்கும் சிறிய, கண்ணுக்குப் புலப்படாத கண்காணிப்புக் கூறுகளான வெப் பக்ஸ்களைப் பயன்படுத்துவது ஒரு முக்கிய உளவு நுட்பமாகும். இவற்றைத் திறக்கும்போது, பெறுநரின் ஐபி முகவரி, பயனர் முகவர் மற்றும் அணுகல் நேரம் போன்ற மெட்டாடேட்டாவை வெளிப்படுத்தும் HTTP கோரிக்கைகள் தூண்டப்படுகின்றன. இது, தாக்குபவர்கள் தங்கள் ஈடுபாட்டை உறுதிப்படுத்தவும், இலக்கைச் செம்மைப்படுத்தவும் அனுமதிக்கிறது.

OAuth துஷ்பிரயோகம் மற்றும் கிளவுட் அடிப்படையிலான தீம்பொருள் விநியோகம்

2025-ஆம் ஆண்டின் பிற்பகுதியில், TA416 தாக்குதல்கள் முறையான மைக்ரோசாஃப்ட் OAuth அங்கீகார முனையங்களைப் பயன்படுத்திக்கொண்டன. ஃபிஷிங் இணைப்புகளைக் கிளிக் செய்த பாதிக்கப்பட்டவர்கள், நம்பகமான அங்கீகார வழிமுறைகள் வழியாகத் திருப்பிவிடப்பட்டு, பின்னர் தீங்கிழைக்கும் கோப்புகளைக் கொண்ட, தாக்குபவரால் கட்டுப்படுத்தப்படும் உள்கட்டமைப்பிற்கு யாருக்கும் தெரியாமல் அனுப்பப்பட்டனர்.

2026-ஆம் ஆண்டின் தொடக்கத்தில், அந்தக் குழு கூகிள் டிரைவ் மற்றும் ஊடுருவப்பட்ட ஷேர்பாயிண்ட் இன்ஸ்டன்ஸ்கள் வழியாக ஆவணக்காப்பகங்களை விநியோகிப்பதன் மூலம் தனது அணுகுமுறையை மேலும் செம்மைப்படுத்தியது. இந்த ஆவணக்காப்பகங்களில், தீங்கிழைக்கும் C# திட்டக் கோப்புகளுடன் முறையான மைக்ரோசாஃப்ட் MSBuild இயங்கு கோப்புகளும் இருந்தன. இது ஏமாற்றும் தன்மையுடையதும் அதே சமயம் திறம்பட செயல்படக்கூடியதுமான ஒரு செயலாக்கப் பாதையை உருவாக்கியது.

MSBuild சுரண்டல் மற்றும் பல-கட்ட பேலோட் வரிசைப்படுத்தல்

TA416-இன் தொற்றுச் சங்கிலியில் MSBuild பயன்பாடு ஒரு முக்கியப் பங்கு வகிக்கிறது. இது செயல்படுத்தப்படும்போது, பணிபுரியும் கோப்பகத்திற்குள் உள்ள திட்டக் கோப்புகளைத் தானாகவே கண்டறிந்து தொகுக்கிறது. இந்தத் தாக்குதல்களில், தீங்கிழைக்கும் CSPROJ கோப்புகள், Base64-குறியிடப்பட்ட URL-களைப் புரிந்துகொண்டு கூடுதல் பேலோட் கூறுகளைப் பெறும் பதிவிறக்கிகளாகச் செயல்படுகின்றன.

இந்தச் செயல்முறையில், ஒரு DLL சைடு-லோடிங் தொகுப்பைப் பதிவிறக்கம் செய்து, அதை ஒரு தற்காலிகக் கோப்பகத்தில் சேமித்து, பின்னர் PlugX தீம்பொருளை ஏற்றும் ஒரு முறையான பைனரியை இயக்குவது அடங்கும். இந்த பல-கட்ட அணுகுமுறை, மறைந்திருந்து செயல்படுவதை மேம்படுத்தி, கண்டறிவதைக் கடினமாக்குகிறது.

PlugX பின்கதவுத் திறன்கள் மற்றும் நிலைத்தன்மை

விநியோக வழிமுறைகளில் வேறுபாடுகள் இருந்தபோதிலும், TA416-இன் செயல்பாடுகளில் PlugX ஒரு மைய அங்கமாகத் தொடர்ந்து இருந்து வருகிறது; இது பல்வேறு தாக்குதல் முயற்சிகள் முழுவதும் சீராகப் பயன்படுத்தப்படுகிறது. இந்த மால்வேர், கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்புடன் மறைகுறியாக்கப்பட்ட தகவல்தொடர்பை ஏற்படுத்தி, கண்டறியப்படுவதைத் தவிர்ப்பதற்காகச் செயல்படுத்தப்படுவதற்கு முன்பு பகுப்பாய்வு-எதிர்ப்புச் சோதனைகளை மேற்கொள்கிறது.

இதன் செயல்பாடு விரிவான அமைப்புக் கட்டுப்பாட்டையும் தரவு வெளியேற்றத்தையும் செயல்படுத்துகிறது. முக்கியத் திறன்களில் அடங்குவன:

• விரிவான அமைப்புத் தகவல்களைச் சேகரித்தல்
• தடயவியல் பகுப்பாய்வைத் தவிர்ப்பதற்காகத் தன்னை அகற்றிக்கொள்வது
• கட்டளை சேவையகங்களுடனான தொடர்பு இடைவெளிகளை மாற்றுதல்
• கூடுதல் பேலோடுகளைப் பதிவிறக்கி இயக்குதல்
• ரிமோட் கண்ட்ரோலுக்கான ரிவர்ஸ் ஷெல் அணுகலை நிறுவுதல்

தொடர்ச்சியான பரிணாமம் மற்றும் மூலோபாய இலக்கு நிர்ணயம்

தென்கிழக்கு ஆசியா மற்றும் மங்கோலியா மீது கவனம் செலுத்திய பிறகு, TA416 மீண்டும் ஐரோப்பிய இலக்குகளுக்குத் திரும்புவது, ஐரோப்பிய ஒன்றியம் மற்றும் நேட்டோ தொடர்பான உளவுத் தகவல்களைச் சேகரிப்பதில் மீண்டும் முக்கியத்துவம் அளிக்கப்படுவதைக் குறிக்கிறது. அதே சமயம், மத்திய கிழக்கு நடவடிக்கைகளில் அதன் விரிவாக்கம், உலகளாவிய மோதல்களுக்கு இக்குழு பதிலளிக்கும் தன்மையை அடிக்கோடிட்டுக் காட்டுகிறது.

போலி சரிபார்ப்புப் பக்கங்கள் முதல் OAuth முறைகேடு மற்றும் MSBuild அடிப்படையிலான செயலாக்கம் வரையிலான நுட்பங்களை மீண்டும் மீண்டும் மேம்படுத்துவதில் அந்த அச்சுறுத்தல் காரணி காட்டும் ஆர்வம், தப்பித்தல் மற்றும் செயல்பாட்டுத் திறனில் அதன் தொடர்ச்சியான அர்ப்பணிப்பை வெளிப்படுத்துகிறது. அதன் PlugX தீம்பொருளின் தொடர்ச்சியான செம்மைப்படுத்தல், அது ஒரு அதிநவீன, தகவமைத்துக் கொள்ளும் இணைய உளவு அச்சுறுத்தல் என்பதை மேலும் அடிக்கோடிட்டுக் காட்டுகிறது.