டிரான்ஸ்ஃபர்லோடர் தீம்பொருள்

பாதுகாப்பு ஆராய்ச்சியாளர்கள் RomCom RAT-க்குப் பின்னால் உள்ள பிரபல நடிகர்களுக்கும் TransferLoader என அழைக்கப்படும் தீம்பொருள் ஏற்றிக்கும் இடையே தொடர்புகளை வரைந்து வருகின்றனர். உளவு மற்றும் ransomware தாக்குதல்களைக் கொண்ட நிறுவனங்களை குறிவைத்து நடத்தப்படும் இந்த பிரச்சாரம், நெருக்கமான ஆய்வு தேவைப்படும் அதிநவீன நுட்பங்களையும் ஒன்றுடன் ஒன்று தொடர்புடைய உள்கட்டமைப்புகளையும் எடுத்துக்காட்டுகிறது.

இரண்டு அச்சுறுத்தல் நடிகர் கிளஸ்டர்கள்: TA829 மற்றும் UNK_GreenSec

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், டிரான்ஸ்ஃபர்லோடர் தொடர்பான செயல்பாட்டை இரண்டு முதன்மை அச்சுறுத்தல் நடிகர் குழுக்களுக்குக் காரணம் என்று கூறுகின்றனர்:

• TA829, RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, மற்றும் Void Rabisu போன்ற மாற்றுப் பெயர்களிலும் கண்காணிக்கப்படுகிறது.
• UNK_GreenSec, இதே போன்ற தந்திரோபாயங்களுடன் இணையாக செயல்படும் குறைவாக அறியப்பட்ட கிளஸ்டர்.

TA829, உளவு பார்த்தல் மற்றும் நிதி ரீதியாக ஊக்கமளிக்கும் தாக்குதல்களை இணைத்து அதன் கலப்பின செயல்பாடுகளுக்கு குறிப்பாக குறிப்பிடத்தக்கது. இந்த ரஷ்யாவுடன் இணைந்த குழு, முன்னர் Mozilla Firefox மற்றும் Microsoft Windows இல் பூஜ்ஜிய-நாள் பாதிப்புகளைப் பயன்படுத்தி, அதிக மதிப்புள்ள உலகளாவிய நிறுவனங்களை குறிவைத்து RomCom RAT ஐப் பயன்படுத்தியுள்ளது.

TransferLoader: தீம்பொருள் பிரச்சாரங்களில் தோற்றம் மற்றும் பங்கு

பிப்ரவரி 2025 இல், HellCat ransomware இன் மறுபெயரிடப்பட்ட பதிப்பான Morpheus ransomware சம்பந்தப்பட்ட பிரச்சாரத்தின் போது TransferLoader முதன்முதலில் அடையாளம் காணப்பட்டது. இந்த தீம்பொருள் அமெரிக்காவை தளமாகக் கொண்ட பெயரிடப்படாத சட்ட நிறுவனத்திற்கு எதிராகப் பயன்படுத்தப்பட்டது. RomCom போலல்லாமல், TransferLoader முதன்மையாக ஒரு திருட்டுத்தனமான டெலிவரி பொறிமுறையாக செயல்படுகிறது, இது Metasploit மற்றும் Morpheus போன்ற கூடுதல் தீங்கிழைக்கும் பேலோடுகளைப் பயன்படுத்த உதவுகிறது.

TransferLoader இன் நோக்கம் எளிமையானது: கண்டறியப்படாமல் இருப்பது மற்றும் மேலும் தீம்பொருளை வழங்குவது.

REM ப்ராக்ஸி உள்கட்டமைப்பைப் பயன்படுத்துதல்

TA829 மற்றும் UNK_GreenSec இரண்டும் REM ப்ராக்ஸி சேவைகளை நம்பியுள்ளன, இவை பெரும்பாலும் சமரசம் செய்யப்பட்ட மைக்ரோடிக் ரவுட்டர்களில் ஹோஸ்ட் செய்யப்படுகின்றன. இந்த ப்ராக்ஸிகள் தீங்கிழைக்கும் போக்குவரத்தை வழிநடத்தப் பயன்படுத்தப்படுகின்றன, அதன் உண்மையான தோற்றத்தை மறைக்கின்றன. குழுக்கள் இந்த உள்கட்டமைப்பைப் பயன்படுத்துகின்றன:

• இலவச அஞ்சல் சேவைகள் (எ.கா. ஜிமெயில், ukr.net) வழியாக ஃபிஷிங் மின்னஞ்சல்களை அனுப்புதல்.
• அப்ஸ்ட்ரீம் செயல்பாட்டை மறைக்க ரிலே டிராஃபிக்கை இயக்கு.
• புதிதாக உருவாக்கப்பட்ட மற்றும் சமரசம் செய்யப்பட்ட மின்னஞ்சல் கணக்குகளைப் பயன்படுத்தி பிரச்சாரங்களைத் தொடங்கவும்.

ஃபிஷிங் விநியோகத்திற்காக ximajazehox333@gmail.com மற்றும் hannahsilva1978@ukr.net போன்ற அனுப்புநர் முகவரிகளை பெருமளவில் உருவாக்கும் மின்னஞ்சல் உருவாக்குநர் கருவிகளைப் பயன்படுத்துவதை ஆராய்ச்சியாளர்கள் சந்தேகிக்கின்றனர்.

ஃபிஷிங் மெக்கானிக்ஸ் மற்றும் பேலோட் டெலிவரி

இரண்டு கிளஸ்டர்களாலும் அனுப்பப்படும் ஃபிஷிங் செய்திகள் பெரும்பாலும் மின்னஞ்சல் உள்ளடக்கம் அல்லது PDF இணைப்புகளில் உட்பொதிக்கப்பட்ட இணைப்புகளைக் கொண்டிருக்கும். இந்த இணைப்புகளைக் கிளிக் செய்யும் பாதிக்கப்பட்டவர்கள் Rebrandly வழியாக தொடர்ச்சியான திருப்பிவிடுதல்களுக்கு உட்படுத்தப்படுகிறார்கள், இறுதியில் ஏமாற்றப்பட்ட Google Drive அல்லது Microsoft OneDrive பக்கங்களில் இறங்குகிறார்கள். இந்த திருப்பிவிடுதல்களில் பின்வருவனவற்றிற்கான வழிமுறைகள் அடங்கும்:

• சாண்ட்பாக்ஸ் சூழல்களைத் தவிர்த்து
• ஆர்வமில்லாத அமைப்புகளை வடிகட்டவும்
• அச்சுறுத்தல் குழுவைப் பொறுத்து வெவ்வேறு இறுதி பேலோடுகளை வழங்குதல்.

மாறுபட்ட தாக்குதல் பாதைகள் :

• TransferLoader ஐப் பயன்படுத்த UNK_GreenSec இந்த வழியைப் பயன்படுத்துகிறது.
• TA829 இலக்குகளை SlipScreen தீம்பொருளுக்கு திருப்பிவிடுகிறது.

பகிரப்பட்ட கருவிகள் மற்றும் உள்கட்டமைப்பு

இரண்டு நடிகர் குழுக்களும் ஒன்றுடன் ஒன்று இணைந்த கருவித்தொகுப்புகள் மற்றும் உள்கட்டமைப்பு தேர்வுகளை நிரூபிக்கின்றன:

• SSH சுரங்கங்களை நிறுவுவதற்கு PuTTY இன் PLINK பயன்பாட்டின் பயன்பாடு.
• IPFS (இன்டர்பிளானட்டரி ஃபைல் சிஸ்டம்) சேவைகளில் தீங்கிழைக்கும் பயன்பாடுகளை ஹோஸ்ட் செய்தல்.
• போக்குவரத்து வடிகட்டுதலுக்கான டைனமிக் PHP-அடிப்படையிலான திருப்பிவிடல் முனைப்புள்ளிகளைப் பயன்படுத்துதல்.

இந்தப் பகிரப்பட்ட முறைகள், பயனுள்ள தந்திரோபாயங்களின் சாத்தியமான ஒருங்கிணைப்பு அல்லது பரஸ்பர ஏற்றுக்கொள்ளலை பரிந்துரைக்கின்றன.

சமூக பொறியியல் கருப்பொருள்கள் மற்றும் விநியோக உத்திகள்

TransferLoader சம்பந்தப்பட்ட பிரச்சாரங்கள் பெரும்பாலும் வேலை வாய்ப்பு மின்னஞ்சல்களாக மாறுவேடமிட்டு, PDF விண்ணப்பங்களுக்கு வழிவகுக்கும் இணைப்புகளைக் கொண்டு பாதிக்கப்பட்டவர்களை ஈர்க்கின்றன. உண்மையில், இந்த இணைப்பு IPFS வலைப்பகிர்வுகளில் ஹோஸ்ட் செய்யப்பட்ட TransferLoader இன் பதிவிறக்கத்தைத் தூண்டுகிறது.

டிரான்ஸ்ஃபர்லோடர் செயல்பாடுகளின் முக்கிய தொழில்நுட்ப சிறப்பம்சங்கள்

கண்டறிதலைத் தவிர்க்கிறது - பாரம்பரிய பாதுகாப்புகளைத் தவிர்ப்பதற்கு திசைதிருப்பல், வடிகட்டுதல் மற்றும் பரவலாக்கப்பட்ட ஹோஸ்டிங் ஆகியவற்றைப் பயன்படுத்துகிறது.

பேலோட் டெலிவரி - ரான்சம்வேர் மற்றும் ரிமோட் அக்சஸ் கருவிகள் உள்ளிட்ட மிகவும் ஆபத்தான தீம்பொருளுக்கு ஏற்றியாகச் செயல்படுகிறது.

வேறுபட்ட நுட்பங்கள் - டைனமிக் உள்ளடக்க விநியோகத்தை ஆதரிக்க தனித்துவமான வழிமாற்று கட்டமைப்புகளை (ஜாவாஸ்கிரிப்ட் முதல் PHP இறுதிப் புள்ளிகள் வரை) பயன்படுத்துகிறது.

முடிவு: TransferLoader அச்சுறுத்தலைப் புரிந்துகொள்வது

அதிக தாக்கத்தை ஏற்படுத்தும் தாக்குதல்களை செயல்படுத்தும் திறன் கொண்ட ஒரு திருட்டுத்தனமான ஏற்றியாக TransferLoader ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலைக் குறிக்கிறது. UNK_GreenSec மற்றும் TA829 இரண்டாலும் இதன் பயன்பாடு, சைபர் குற்றவாளிகள் குழுக்கள் எவ்வாறு கண்டறிதலைத் தவிர்க்கவும் தங்கள் இலக்குகளை அடையவும் புதுமைகளை உருவாக்குதல், கருவிகளைப் பகிர்ந்து கொள்ளுதல் மற்றும் பரவலாக்கப்பட்ட உள்கட்டமைப்பை எவ்வாறு சுரண்டுவது என்பதை விளக்குகிறது.

TransferLoader அச்சுறுத்தலின் குறிகாட்டிகள் பின்வருமாறு:

• REM ப்ராக்ஸி சேவைகளைப் பயன்படுத்துதல்
• வேலை விண்ணப்பங்கள் அல்லது விண்ணப்பங்களைக் குறிப்பிடும் மின்னஞ்சல்கள்
• ரீபிராண்ட்லி இணைப்புகளை உள்ளடக்கிய திருப்பிவிடும் சங்கிலிகள்
• IPFS-அடிப்படையிலான தளங்களில் ஹோஸ்ட் செய்யப்பட்ட பேலோடுகள்

நிறுவனங்கள் விழிப்புடன் இருக்க வேண்டும், வலுவான மின்னஞ்சல் மற்றும் வலை வடிகட்டலை செயல்படுத்த வேண்டும், மேலும் இந்த தந்திரோபாயங்களுடன் இணைக்கப்பட்ட அசாதாரண நெட்வொர்க் நடத்தையை தொடர்ந்து கண்காணிக்க வேண்டும்.