የፊልሙ በNetBeans IDE ውስጥ ያሉ ፕሮጀክቶችን የሚያጠቃ እና እራሱን ለማሰራጨት የግንባታ ሂደቱን የሚጠቀም ማልዌር። ምርመራው እንደሚያሳየው በጥያቄ ውስጥ ያለውን ማልዌር በመጠቀም ኦክቶፐስ ስካነር ተብሎ የተሰየመው ፣ backdoors በ GitHub ላይ ካሉ ማከማቻዎች ጋር በ26 ክፍት ፕሮጀክቶች ውስጥ በድብቅ ተዋህደዋል። የኦክቶፐስ ስካነር መግለጫ የመጀመሪያዎቹ ዱካዎች እ.ኤ.አ. ኦገስት 2018 ነው።
ተንኮል አዘል ዌር የ NetBeans ፕሮጄክት ፋይሎችን መለየት እና ኮዱን ወደ ፕሮጄክቱ ፋይሎች እና የ JAR ፋይሎችን ማጠናቀር ይችላል። የሥራው ስልተ ቀመር የNetBeans ማውጫን ከተጠቃሚው ፕሮጀክቶች ጋር ለማግኘት፣ በዚህ ማውጫ ውስጥ ያሉትን ሁሉንም ፕሮጀክቶች በመዘርዘር፣ ተንኮል-አዘል ስክሪፕቱን ወደ ላይ በመኮረጅ ላይ ይገኛል። እና በፋይሉ ላይ ለውጦችን ማድረግ ፕሮጀክቱ በተገነባ ቁጥር ይህንን ስክሪፕት ለመጥራት. በሚሰበሰብበት ጊዜ የማልዌር ቅጂ በተፈጠረው የJAR ፋይሎች ውስጥ ይካተታል፣ ይህም ለተጨማሪ ስርጭት ምንጭ ይሆናል። ለምሳሌ፣ ከላይ በተጠቀሱት የ26 ክፍት ምንጭ ፕሮጀክቶች ማከማቻዎች ላይ ተንኮል አዘል ፋይሎች ተለጥፈዋል፣ እንዲሁም አዳዲስ የተለቀቁ ግንባታዎችን በሚታተምበት ጊዜ ሌሎች የተለያዩ ፕሮጀክቶች አሉ።
የተበከለው JAR ፋይል በሌላ ተጠቃሚ ሲወርድ እና ሲጀምር፣ በራሱ ስርዓት ላይ ሌላ የኔትቢንስ ፍለጋ እና ተንኮል-አዘል ኮድ የማስተዋወቅ ዑደት ተጀመረ፣ ይህ በራሱ በራሱ ከሚያሰራጩ የኮምፒዩተር ቫይረሶች የስራ ሞዴል ጋር ይዛመዳል። እራስን ከማሰራጨት ተግባር በተጨማሪ ተንኮል አዘል ኮድ ለስርዓቱ የርቀት መዳረሻን ለማቅረብ የጀርባ ተግባርን ያካትታል። በአደጋው ጊዜ የኋለኛው በር መቆጣጠሪያ (ሲ&ሲ) አገልጋዮች ንቁ አልነበሩም።
በጠቅላላው, የተጎዱትን ፕሮጀክቶች ሲያጠኑ, 4 የኢንፌክሽን ዓይነቶች ተለይተዋል. ከአማራጮች ውስጥ በአንዱ የኋለኛውን በር በሊኑክስ ውስጥ ለማግበር “$ HOME/.config/autostart/octo.desktop” ተፈጠረ እና በዊንዶውስ እሱን ለማስጀመር በ schtasks በኩል ተግባራት ተጀምረዋል። ሌሎች የተፈጠሩ ፋይሎች የሚከተሉትን ያካትታሉ:
- $ HOME / .local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
የኋለኛው በር በገንቢው በተዘጋጀው ኮድ ላይ ዕልባቶችን ለማከል፣የባለቤትነት ስርዓቶችን ኮድ ለማውጣት፣ሚስጥራዊ ውሂብ ለመስረቅ እና መለያዎችን ለመውሰድ ሊያገለግል ይችላል። የ GitHub ተመራማሪዎች ተንኮል-አዘል እንቅስቃሴ በ NetBeans ብቻ የተገደበ አለመሆኑን እና እራሳቸውን ለማሰራጨት በ Make, MsBuild, Gradle እና ሌሎች ስርዓቶች ላይ በመመስረት በግንባታ ሂደት ውስጥ የተካተቱ ሌሎች የ Octopus Scanner ልዩነቶች ሊኖሩ እንደሚችሉ አይተዉም.
የተጎዱት ፕሮጀክቶች ስም አልተጠቀሱም, ግን በቀላሉ ሊሆኑ ይችላሉ የ"cache.dat" ጭንብል በመጠቀም በ GitHub ውስጥ በተደረገ ፍለጋ። የተንኮል-አዘል ድርጊቶች ምልክቶች ከተገኙባቸው ፕሮጀክቶች መካከል፡- , , , , , , , , , , , , .
ምንጭ: opennet.ru