VOID#GEIST தீம்பொருள்

மறைகுறியாக்கப்பட்ட ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) பேலோடுகளை வழங்க தொகுதி ஸ்கிரிப்ட்களை நம்பியிருக்கும் ஒரு அதிநவீன பல-நிலை தீம்பொருள் பிரச்சாரத்தை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். VOID#GEIST என அடையாளம் காணப்பட்ட இந்த பிரச்சாரம், XWorm, AsyncRAT மற்றும் Xeno RAT உள்ளிட்ட பல RAT குடும்பங்களைப் பயன்படுத்துகிறது.

தாக்குதல் சங்கிலி, கண்டறிதலைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்ட செயல்களின் வரிசையைத் தொடங்கும் ஒரு தெளிவற்ற தொகுதி ஸ்கிரிப்டைப் பயன்படுத்துகிறது. இந்த செயல்களில் கூடுதல் தொகுதி ஸ்கிரிப்டைத் தொடங்குதல், முறையான உட்பொதிக்கப்பட்ட பைதான் இயக்க நேர சூழலை நிலைநிறுத்துதல் மற்றும் மறைகுறியாக்கப்பட்ட ஷெல் குறியீடு பேலோடுகளை மறைகுறியாக்கம் செய்தல் ஆகியவை அடங்கும். ஷெல் குறியீடு, ஆரம்பகால பறவை ஒத்திசைவற்ற நடைமுறை அழைப்பு (APC) ஊசி எனப்படும் ஒரு நுட்பத்தைப் பயன்படுத்தி Windows செயல்முறை explorer.exe இன் தனித்தனி நிகழ்வுகளில் செலுத்தப்பட்ட பிறகு நினைவகத்தில் நேரடியாக செயல்படுத்தப்படுகிறது.

ஸ்கிரிப்ட்-இயக்கப்படும் தீம்பொருள் விநியோகம்: ஒரு நவீன அச்சுறுத்தல் மாதிரி

நவீன அச்சுறுத்தல் நடிகர்கள், பாரம்பரிய தனித்த இயங்கக்கூடிய தீம்பொருளைக் கைவிட்டு, முறையான பயனர் நடத்தையைப் பிரதிபலிக்கும் அடுக்கு, ஸ்கிரிப்ட் அடிப்படையிலான விநியோக கட்டமைப்புகளுக்கு ஆதரவாக அதிகரித்து வருகின்றனர். வழக்கமான போர்ட்டபிள் எக்ஸிகியூட்டபிள் (PE) பைனரிகளைப் பயன்படுத்துவதற்குப் பதிலாக, தாக்குபவர்கள் பல முறையான தொழில்நுட்பங்கள் மற்றும் ஸ்கிரிப்டிங் சூழல்களை இணைக்கும் பல-கூறு குழாய்களை ஒழுங்கமைக்கின்றனர்.

இந்த கட்டமைப்புகளுக்குள் பயன்படுத்தப்படும் பொதுவான கூறுகள் பின்வருமாறு:

• தொற்று வரிசையை ஒழுங்கமைக்கப் பயன்படுத்தப்படும் தொகுதி ஸ்கிரிப்டுகள்.
• திருட்டுத்தனமான பேலோட் நிலையை எளிதாக்கும் பவர்ஷெல் கட்டளைகள்.
• அமைப்புகள் முழுவதும் பெயர்வுத்திறனை உறுதி செய்யும் உட்பொதிக்கப்பட்ட முறையான இயக்க நேரங்கள்.
• நிலைத்தன்மையையும் கட்டுப்பாட்டையும் பராமரிக்க, ரா ஷெல் குறியீடு நேரடியாக நினைவகத்தில் செயல்படுத்தப்படுகிறது.

இந்தக் கோப்பு இல்லாத செயல்பாட்டு அணுகுமுறை, வட்டு அடிப்படையிலான கண்டறிதலுக்கான வாய்ப்புகளைக் கணிசமாகக் குறைக்கிறது. ஒவ்வொரு தனிப்பட்ட கட்டமும் சுயாதீனமாக ஆராயப்படும்போது ஒப்பீட்டளவில் பாதிப்பில்லாததாகத் தோன்றுகிறது மற்றும் பெரும்பாலும் வழக்கமான நிர்வாகச் செயல்பாட்டை ஒத்திருக்கிறது, இதனால் அச்சுறுத்தல் நடிகர்கள் உடனடி பாதுகாப்பு எச்சரிக்கைகளை எழுப்பாமல் சமரசம் செய்யப்பட்ட சூழல்களில் செயல்பட அனுமதிக்கிறது.

ஃபிஷிங் மற்றும் கிளவுட்ஃப்ளேர் உள்கட்டமைப்பு மூலம் ஆரம்ப அணுகல்

தாக்குதலின் நுழைவுப் புள்ளி ஃபிஷிங் மின்னஞ்சல்கள் மூலம் வழங்கப்படும் தீங்கிழைக்கும் தொகுதி ஸ்கிரிப்ட்டுடன் தொடங்குகிறது. இந்த ஸ்கிரிப்ட் ட்ரைக்ளவுட்ஃப்ளேர் டொமைனில் ஹோஸ்ட் செய்யப்பட்ட உள்கட்டமைப்பிலிருந்து மீட்டெடுக்கப்படுகிறது. செயல்படுத்தப்பட்டவுடன், ஸ்கிரிப்ட் வேண்டுமென்றே சலுகை அதிகரிப்பு முயற்சிகளைத் தவிர்க்கிறது, அதற்கு பதிலாக தற்போது உள்நுழைந்துள்ள பயனரின் அனுமதி எல்லைகளுக்குள் கண்டிப்பாக செயல்படுகிறது.

இந்த உத்தி, தீம்பொருள் வழக்கமான பயனர்-நிலை செயல்பாடுகளில் கலக்கும்போது அதன் ஆரம்ப காலடியை நிலைநிறுத்த அனுமதிக்கிறது. உயர்ந்த சலுகைகள் தேவைப்படும் செயல்களைத் தவிர்ப்பதன் மூலம், தாக்குதல் பாதுகாப்பு எச்சரிக்கைகள் அல்லது நிர்வாகத் தூண்டுதல்களைத் தூண்டும் வாய்ப்பைக் குறைக்கிறது.

காட்சி கவனச்சிதறல் மற்றும் திருட்டுத்தனமான செயல்படுத்தல் நுட்பங்கள்

செயல்படுத்தப்பட்டதைத் தொடர்ந்து, தீம்பொருளின் முதல் கட்டம் பாதிக்கப்பட்டவரின் கவனத்தைத் திசைதிருப்ப ஒரு ஏமாற்று ஆவணத்தைத் தொடங்குகிறது. PDF ஆக வழங்கப்பட்ட நிதி ஆவணம் அல்லது விலைப்பட்டியலைக் காண்பிக்க கூகிள் குரோம் முழுத்திரை பயன்முறையில் திறக்கப்படுகிறது. பயனர் ஆவணத்தில் கவனம் செலுத்தும்போது, தீங்கிழைக்கும் செயல்பாடு பின்னணியில் தொடர்கிறது.

அதே நேரத்தில், மறைக்கப்பட்ட செயல்படுத்தல் அளவுருக்களுடன் அசல் தொகுதி ஸ்கிரிப்டை மீண்டும் தொடங்க பவர்ஷெல் கட்டளை செயல்படுத்தப்படுகிறது. -WindowStyle Hidden அளவுருவைப் பயன்படுத்துவது புலப்படும் கன்சோல் சாளரம் தோன்றுவதைத் தடுக்கிறது, தீங்கிழைக்கும் செயல்பாடு பயனரிடமிருந்து மறைக்கப்படுவதை உறுதி செய்கிறது.

பயனர்-நிலை தொடக்க செயல்படுத்தல் மூலம் நிலைத்தன்மை

கணினி மறுதொடக்கங்களுக்குப் பிறகு நிலைத்தன்மையைப் பராமரிக்க, தீம்பொருள் விண்டோஸ் பயனர் தொடக்க கோப்பகத்தில் ஒரு துணைத் தொகுதி ஸ்கிரிப்டைப் பயன்படுத்துகிறது. பாதிக்கப்பட்டவர் கணினியில் உள்நுழையும்போதெல்லாம் ஸ்கிரிப்ட் தானாகவே செயல்படுத்தப்படுவதை இந்த இடம் உறுதி செய்கிறது.

இந்த நிலைத்தன்மை வழிமுறை வேண்டுமென்றே நுட்பமானது. கணினி பதிவேட்டில் விசைகளை மாற்றியமைத்தல், திட்டமிடப்பட்ட பணிகளை உருவாக்குதல் அல்லது சேவைகளை நிறுவுதல் போன்ற அதிக ஊடுருவும் நுட்பங்களைப் பயன்படுத்துவதற்குப் பதிலாக, தீம்பொருள் நிலையான பயனர்-நிலை தொடக்க நடத்தையை மட்டுமே நம்பியுள்ளது. அணுகுமுறை முற்றிலும் தற்போதைய பயனரின் சலுகைகளின் சூழலுக்குள் செயல்படுவதால், இது சலுகை அதிகரிப்பு தூண்டுதல்களைத் தூண்டுவதைத் தவிர்க்கிறது மற்றும் பதிவேட்டில் கண்காணிப்பு கருவிகள் மூலம் கண்டறியும் வாய்ப்பைக் குறைக்கிறது.

பேலோட் மீட்டெடுப்பு மற்றும் மறைகுறியாக்க கட்டமைப்பு

தொற்று சங்கிலியின் அடுத்த கட்டத்தின் போது, ZIP காப்பகங்களில் தொகுக்கப்பட்ட கூடுதல் பேலோட் கூறுகளை மீட்டெடுக்க தீம்பொருள் ஒரு TryCloudflare டொமைனைத் தொடர்பு கொள்கிறது. இந்த காப்பகங்களில் இறுதி மால்வேர் பேலோடுகளை டிக்ரிப்ட் செய்து செயல்படுத்த தேவையான தொகுதிகள் உள்ளன.

பதிவிறக்கம் செய்யப்பட்ட காப்பகம் பொதுவாக பின்வரும் கூறுகளைக் கொண்டிருக்கும்:

• runn.py – மறைகுறியாக்கப்பட்ட ஷெல் குறியீடு தொகுதிகளை நினைவகத்தில் மறைகுறியாக்கி செலுத்துவதற்குப் பொறுப்பான பைதான் அடிப்படையிலான ஏற்றி.
• new.bin – XWorm உடன் தொடர்புடைய மறைகுறியாக்கப்பட்ட ஷெல்குறியீட்டு பேலோடு
• xn.bin – Xeno RAT உடன் தொடர்புடைய மறைகுறியாக்கப்பட்ட ஷெல் குறியீடு பேலோட்
• pul.bin – AsyncRAT உடன் தொடர்புடைய மறைகுறியாக்கப்பட்ட ஷெல்குறியீட்டு பேலோடு
• a.json, n.json, மற்றும் p.json - இயக்க நேரத்தில் ஷெல்கோட் பேலோடுகளை டைனமிக் முறையில் டிக்ரிப்ட் செய்ய பைதான் ஏற்றி பயன்படுத்தும் முக்கிய கோப்புகள்.

இந்த மட்டு வடிவமைப்பு, தாக்குபவர்கள் வெவ்வேறு பேலோடுகளை சுயாதீனமாக நிலைநிறுத்தி, தேவைப்படும்போது மட்டுமே அவற்றை செயல்படுத்த உதவுகிறது.

பெயர்வுத்திறன் மற்றும் திருட்டுத்தனத்திற்கான உட்பொதிக்கப்பட்ட பைதான் இயக்க நேரம்

காப்பகம் பிரித்தெடுக்கப்பட்டவுடன், தீம்பொருள் python.org இலிருந்து நேரடியாகப் பெறப்பட்ட ஒரு முறையான உட்பொதிக்கப்பட்ட பைதான் இயக்க நேரத்தைப் பயன்படுத்துகிறது. ஒரு முறையான மொழிபெயர்ப்பாளரை உட்பொதிப்பது, ஏற்கனவே பாதிக்கப்பட்ட கணினியில் இருக்கக்கூடிய எந்த பைதான் நிறுவலையும் நம்பியிருப்பதை நீக்குகிறது.

ஒரு தாக்குபவரின் பார்வையில், இந்தப் படிநிலை பல மூலோபாய நன்மைகளை வழங்குகிறது. தீம்பொருள் வெளிப்புற சார்புகள் தேவையில்லாமல் பேலோடுகளை டிக்ரிப்ட் செய்து செலுத்தும் திறன் கொண்ட ஒரு தன்னிறைவான செயல்பாட்டு சூழலாக மாறுகிறது. இது வெவ்வேறு அமைப்புகளில் பெயர்வுத்திறனை மேம்படுத்துகிறது, நம்பகத்தன்மையை மேம்படுத்துகிறது மற்றும் முறையான மென்பொருள் கூறுகளைப் பயன்படுத்துவதன் மூலம் செயல்பாட்டு திருட்டுத்தனத்திற்கு பங்களிக்கிறது.

பல RAT பேலோடுகளின் நினைவக செயல்படுத்தல்

உட்பொதிக்கப்பட்ட பைதான் இயக்க நேரம் பின்னர் runn.py ஏற்றி ஸ்கிரிப்டை இயக்கப் பயன்படுகிறது. ஏற்றி XWorm உடன் தொடர்புடைய ஷெல் குறியீட்டை மறைகுறியாக்கி, அதை Early Bird APC ஊசி மூலம் explorer.exe இன் இயங்கும் நிகழ்வில் செலுத்துகிறது.

Xeno RAT ஐப் பயன்படுத்த, தீம்பொருள் AppInstallerPythonRedirector.exe எனப்படும் முறையான மைக்ரோசாஃப்ட் பைனரியைப் பயன்படுத்துகிறது, இது பைத்தானை செயல்படுத்தவும் தேவையான கூறுகளை இயக்கவும் பயன்படுகிறது. அதே ஊசி நுட்பம் பின்னர் AsyncRAT ஐப் பயன்படுத்த மீண்டும் பயன்படுத்தப்படுகிறது, இது அனைத்து பேலோடுகளும் வட்டில் பாரம்பரியமாக இயங்கக்கூடிய கலைப்பொருட்களை விடாமல் நினைவகத்தில் முழுமையாக செயல்படுத்தப்படுவதை உறுதி செய்கிறது.

கட்டளை மற்றும் கட்டுப்பாட்டு பீக்கனிங் மற்றும் மட்டு கட்டமைப்பு

தாக்குதலின் இறுதி கட்டத்தில், TryCloudflare இல் ஹோஸ்ட் செய்யப்பட்ட தாக்குபவர் கட்டுப்படுத்தும் கட்டளை மற்றும் கட்டுப்பாடு (C2) உள்கட்டமைப்புக்கு குறைந்தபட்ச HTTP பீக்கனை அனுப்புவது அடங்கும். இந்த பீக்கன், கணினி வெற்றிகரமாக சமரசம் செய்யப்பட்டுள்ளது மற்றும் மேலும் வழிமுறைகளைப் பெறத் தயாராக உள்ளது என்பதை உறுதிப்படுத்துகிறது.

பிரச்சாரத்தின் குறிப்பிட்ட இலக்குகள் தெரியவில்லை என்றாலும், தொற்று சங்கிலி மிகவும் மட்டுப்படுத்தப்பட்ட கட்டமைப்பை நிரூபிக்கிறது. ஒரு பெரிய தீம்பொருள் பேலோடைப் பயன்படுத்துவதற்குப் பதிலாக, தாக்குபவர்கள் பல நிலைகளில் கூறுகளை படிப்படியாக அறிமுகப்படுத்துகிறார்கள். இந்த வடிவமைப்பு செயல்பாட்டு நெகிழ்வுத்தன்மை மற்றும் மீள்தன்மையை மேம்படுத்துகிறது.

கண்டறிதல் கண்ணோட்டத்தில், பிரச்சாரம் முழுவதும் ஒரு குறிப்பிடத்தக்க நடத்தை குறிகாட்டி வெளிப்படுகிறது: குறுகிய கால இடைவெளியில் explorer.exe இல் மீண்டும் மீண்டும் செயல்முறை ஊசி போடுதல். தாக்குதல் வாழ்க்கைச் சுழற்சியின் வெவ்வேறு கட்டங்களில் சந்தேகத்திற்கிடமான செயல்பாட்டை தொடர்புபடுத்த முயற்சிக்கும் பாதுகாவலர்களுக்கு இந்த முறை ஒரு வலுவான சமிக்ஞையாகச் செயல்படும்.