ట్రాన్స్‌ఫర్‌లోడర్ మాల్వేర్

RomCom RAT వెనుక ఉన్న అపఖ్యాతి పాలైన వ్యక్తులకు మరియు TransferLoader అని పిలువబడే మాల్వేర్ లోడర్‌కు మధ్య సంబంధాలను భద్రతా పరిశోధకులు కనుగొంటున్నారు. గూఢచర్యం మరియు ransomware దాడులతో ఎంటిటీలను లక్ష్యంగా చేసుకున్న ఈ ప్రచారం, నిశిత పరిశీలన అవసరమయ్యే అధునాతన సాంకేతికతలు మరియు అతివ్యాప్తి చెందుతున్న మౌలిక సదుపాయాలను హైలైట్ చేస్తుంది.

రెండు థ్రెట్ యాక్టర్ క్లస్టర్లు: TA829 మరియు UNK_GreenSec

సైబర్ సెక్యూరిటీ పరిశోధకులు ట్రాన్స్‌ఫర్‌లోడర్-సంబంధిత కార్యకలాపాలను రెండు ప్రాథమిక బెదిరింపు నటుల సమూహాలకు ఆపాదించారు:

• TA829, RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, మరియు Void Rabisu వంటి మారుపేర్లతో కూడా ట్రాక్ చేయబడింది.
• UNK_GreenSec, ఇలాంటి వ్యూహాలతో సమాంతరంగా పనిచేసే అంతగా తెలియని క్లస్టర్.

TA829 ముఖ్యంగా దాని హైబ్రిడ్ కార్యకలాపాలకు ప్రసిద్ధి చెందింది, గూఢచర్యం మరియు ఆర్థికంగా ప్రేరేపించబడిన దాడులను మిళితం చేస్తుంది. ఈ రష్యా-సమలేఖన సమూహం గతంలో మొజిల్లా ఫైర్‌ఫాక్స్ మరియు మైక్రోసాఫ్ట్ విండోస్‌లలో జీరో-డే దుర్బలత్వాలను ఉపయోగించుకుని, అధిక-విలువైన ప్రపంచ సంస్థలను లక్ష్యంగా చేసుకుని RomCom RATని అమలు చేసింది.

ట్రాన్స్‌ఫర్‌లోడర్: మాల్వేర్ ప్రచారాలలో ఆవిర్భావం మరియు పాత్ర

ట్రాన్స్‌ఫర్‌లోడర్‌ను మొదటిసారిగా ఫిబ్రవరి 2025లో హెల్‌క్యాట్ రాన్సమ్‌వేర్ యొక్క రీబ్రాండెడ్ వెర్షన్ అయిన మార్ఫియస్ రాన్సమ్‌వేర్‌తో కూడిన ప్రచారంలో గుర్తించారు. ఈ మాల్వేర్ పేరులేని US-ఆధారిత లా ఫర్మ్‌కు వ్యతిరేకంగా ఉపయోగించబడింది. RomCom వలె కాకుండా, ట్రాన్స్‌ఫర్‌లోడర్ ప్రధానంగా రహస్య డెలివరీ మెకానిజం వలె పనిచేస్తుంది, ఇది మెటాస్ప్లోయిట్ మరియు మార్ఫియస్ వంటి అదనపు హానికరమైన పేలోడ్‌లను అమలు చేయడానికి వీలు కల్పిస్తుంది.

ట్రాన్స్‌ఫర్‌లోడర్ లక్ష్యం చాలా సులభం: గుర్తించబడకుండా ఉండి, మరిన్ని మాల్వేర్‌లను అందించడం.

REM ప్రాక్సీ మౌలిక సదుపాయాలను దోపిడీ చేయడం

TA829 మరియు UNK_GreenSec రెండూ REM ప్రాక్సీ సేవలపై ఆధారపడతాయి, ఇవి తరచుగా రాజీపడిన మైక్రోటిక్ రౌటర్‌లపై హోస్ట్ చేయబడతాయి. ఈ ప్రాక్సీలు హానికరమైన ట్రాఫిక్‌ను రూట్ చేయడానికి ఉపయోగించబడతాయి, దాని నిజమైన మూలాన్ని దాచిపెడతాయి. సమూహాలు ఈ మౌలిక సదుపాయాలను వీటికి ఉపయోగిస్తాయి:

• ఫ్రీమెయిల్ సేవల ద్వారా ఫిషింగ్ ఇమెయిల్‌లను పంపండి (ఉదా. Gmail, ukr.net)
• అప్‌స్ట్రీమ్ కార్యాచరణను దాచడానికి రిలే ట్రాఫిక్
• కొత్తగా సృష్టించబడిన మరియు రాజీపడిన ఇమెయిల్ ఖాతాలను ఉపయోగించి ప్రచారాలను ప్రారంభించండి

ఫిషింగ్ పంపిణీ కోసం ximajazehox333@gmail.com మరియు hannahsilva1978@ukr.net వంటి పంపేవారి చిరునామాలను భారీగా ఉత్పత్తి చేసే ఇమెయిల్ బిల్డర్ సాధనాలను ఉపయోగిస్తున్నారని పరిశోధకులు అనుమానిస్తున్నారు.

ఫిషింగ్ మెకానిక్స్ మరియు పేలోడ్ డెలివరీ

రెండు క్లస్టర్‌లు పంపే ఫిషింగ్ సందేశాలు తరచుగా ఇమెయిల్ బాడీ లేదా PDF అటాచ్‌మెంట్‌లలో పొందుపరిచిన లింక్‌లను కలిగి ఉంటాయి. ఈ లింక్‌లను క్లిక్ చేసే బాధితులు Rebrandly ద్వారా దారి మళ్లింపుల గొలుసుకు గురవుతారు, చివరికి స్పూఫ్డ్ Google Drive లేదా Microsoft OneDrive పేజీలలోకి ప్రవేశిస్తారు. ఈ దారి మళ్లింపులలో ఈ క్రింది విధానాలు ఉంటాయి:

• బైపాస్ శాండ్‌బాక్స్ ఎన్విరాన్‌మెంట్‌లు
• ఆసక్తి లేని వ్యవస్థలను ఫిల్టర్ చేయండి
• ముప్పు సమూహాన్ని బట్టి వేర్వేరు తుది పేలోడ్‌లను బట్వాడా చేయండి.

విభిన్న దాడి మార్గాలు :

• ట్రాన్స్‌ఫర్‌లోడర్‌ను అమలు చేయడానికి UNK_GreenSec ఈ మార్గాన్ని ఉపయోగిస్తుంది.
• TA829 లక్ష్యాలను స్లిప్‌స్క్రీన్ మాల్వేర్‌కు దారి మళ్లిస్తుంది

భాగస్వామ్య సాధనాలు మరియు మౌలిక సదుపాయాలు

రెండు నటుల సమూహాలు అతివ్యాప్తి చెందుతున్న సాధనాలు మరియు మౌలిక సదుపాయాల ఎంపికలను ప్రదర్శిస్తాయి:

• SSH సొరంగాలను స్థాపించడానికి పుట్టీ యొక్క PLINK యుటిలిటీని ఉపయోగించడం
• IPFS (ఇంటర్‌ప్లానెటరీ ఫైల్ సిస్టమ్) సేవలపై హానికరమైన యుటిలిటీలను హోస్ట్ చేయడం
• ట్రాఫిక్ ఫిల్టరింగ్ కోసం డైనమిక్ PHP-ఆధారిత దారి మళ్లింపు ఎండ్ పాయింట్‌లను ఉపయోగించడం

ఈ ఉమ్మడి పద్ధతులు సమర్థవంతమైన వ్యూహాల సమన్వయం లేదా పరస్పర స్వీకరణను సూచిస్తాయి.

సోషల్ ఇంజనీరింగ్ థీమ్‌లు మరియు డెలివరీ వ్యూహాలు

ట్రాన్స్‌ఫర్‌లోడర్‌తో కూడిన ప్రచారాలు తరచుగా ఉద్యోగ అవకాశాల ఇమెయిల్‌లుగా మారువేషంలో ఉంటాయి, PDF రెజ్యూమ్‌లకు దారితీస్తాయని చెప్పుకునే లింక్‌లతో బాధితులను ఆకర్షిస్తాయి. వాస్తవానికి, లింక్ IPFS వెబ్‌షేర్‌లలో హోస్ట్ చేయబడిన ట్రాన్స్‌ఫర్‌లోడర్ డౌన్‌లోడ్‌ను ప్రేరేపిస్తుంది.

ట్రాన్స్‌ఫర్‌లోడర్ ఆపరేషన్ల యొక్క ముఖ్య సాంకేతిక ముఖ్యాంశాలు

డిటెక్షన్‌ను తప్పించుకుంటుంది – సాంప్రదాయ రక్షణలను దాటవేయడానికి దారి మళ్లింపు, ఫిల్టరింగ్ మరియు వికేంద్రీకృత హోస్టింగ్‌ను ఉపయోగిస్తుంది.

పేలోడ్ డెలివరీ – రాన్సమ్‌వేర్ మరియు రిమోట్ యాక్సెస్ టూల్స్‌తో సహా మరింత ప్రమాదకరమైన మాల్వేర్‌లకు లోడర్‌గా పనిచేస్తుంది.

విభిన్న పద్ధతులు – డైనమిక్ కంటెంట్ డెలివరీకి మద్దతు ఇవ్వడానికి ప్రత్యేకమైన దారిమార్పు నిర్మాణాలను (జావాస్క్రిప్ట్ నుండి PHP ఎండ్‌పాయింట్‌లు) ఉపయోగిస్తుంది.

ముగింపు: ట్రాన్స్‌ఫర్‌లోడర్ ముప్పును అర్థం చేసుకోవడం

ట్రాన్స్‌ఫర్‌లోడర్ అనేది అధిక-ప్రభావ దాడులను ప్రారంభించగల ఒక రహస్య లోడర్‌గా గణనీయమైన ముప్పును సూచిస్తుంది. UNK_GreenSec మరియు TA829 రెండింటి ద్వారా దీని ఉపయోగం సైబర్ నేరస్థుల సమూహాలు గుర్తింపును నివారించడానికి మరియు వారి లక్ష్యాలను సాధించడానికి ఎలా ఆవిష్కరణలు, సాధనాలను పంచుకోవడం మరియు వికేంద్రీకృత మౌలిక సదుపాయాలను దోపిడీ చేయడం కొనసాగిస్తాయో వివరిస్తుంది.

ట్రాన్స్‌ఫర్‌లోడర్ ముప్పు యొక్క సూచికలు:

• REM ప్రాక్సీ సేవల ఉపయోగం
• ఉద్యోగ దరఖాస్తులు లేదా రెజ్యూమ్‌లను సూచిస్తూ ఇమెయిల్ ఆకర్షణలు
• రీబ్రాండ్లీ లింక్‌లను కలిగి ఉన్న రీడైరెక్ట్ చైన్‌లు
• IPFS-ఆధారిత ప్లాట్‌ఫామ్‌లపై హోస్ట్ చేయబడిన పేలోడ్‌లు

సంస్థలు అప్రమత్తంగా ఉండాలి, బలమైన ఇమెయిల్ మరియు వెబ్ ఫిల్టరింగ్‌ను అమలు చేయాలి మరియు ఈ వ్యూహాలకు సంబంధించిన అసాధారణ నెట్‌వర్క్ ప్రవర్తనను నిరంతరం పర్యవేక్షించాలి.