APT அச்சுறுத்தல்களின் குழு சமீபத்தில் ஸ்பியர் ஃபிஷிங் பிரச்சாரங்களைப் பயன்படுத்தி தங்கள் தீம்பொருளை விநியோகிக்க கொரோனா வைரஸ் தொற்றுநோயைப் பயன்படுத்தி கண்டுபிடிக்கப்பட்டது.
தற்போதைய கோவிட்-19 கொரோனா வைரஸ் தொற்றுநோயால் உலகம் தற்போது ஒரு விதிவிலக்கான சூழ்நிலையை அனுபவித்து வருகிறது. வைரஸ் பரவுவதைத் தடுக்க, உலகெங்கிலும் உள்ள ஏராளமான நிறுவனங்கள் தொலைதூர (ரிமோட்) வேலையைத் தொடங்கியுள்ளன. இது தாக்குதல் மேற்பரப்பை கணிசமாக விரிவுபடுத்தியுள்ளது, இது தகவல் பாதுகாப்பின் அடிப்படையில் நிறுவனங்களுக்கு ஒரு பெரிய சவாலாக உள்ளது, ஏனெனில் அவர்கள் இப்போது கடுமையான விதிகளை நிறுவி நடவடிக்கை எடுக்க வேண்டும். நிறுவனம் மற்றும் அதன் தகவல் தொழில்நுட்ப அமைப்புகளின் தொடர்ச்சியை உறுதி செய்ய.
இருப்பினும், விரிவாக்கப்பட்ட தாக்குதல் பரப்பு கடந்த சில நாட்களில் வெளிப்பட்ட ஒரே இணைய ஆபத்து அல்ல: பல இணைய குற்றவாளிகள் இந்த உலகளாவிய நிச்சயமற்ற தன்மையை ஃபிஷிங் பிரச்சாரங்களை நடத்தவும், தீம்பொருளை விநியோகிக்கவும் மற்றும் பல நிறுவனங்களின் தகவல் பாதுகாப்பிற்கு அச்சுறுத்தலை ஏற்படுத்தவும் தீவிரமாக பயன்படுத்தி வருகின்றனர்.
APT தொற்றுநோயைப் பயன்படுத்துகிறது
கடந்த வாரத்தின் பிற்பகுதியில், விஷியஸ் பாண்டா எனப்படும் மேம்பட்ட நிலைத்தடுப்பு அச்சுறுத்தல் (APT) குழுவிற்கு எதிராக பிரச்சாரங்களை நடத்தி வந்தது கண்டுபிடிக்கப்பட்டது. , தங்கள் தீம்பொருளைப் பரப்புவதற்கு கொரோனா வைரஸ் தொற்றுநோயைப் பயன்படுத்துதல். மின்னஞ்சல் பெறுநரிடம் கொரோனா வைரஸ் பற்றிய தகவல்களைக் கொண்டுள்ளது, ஆனால் உண்மையில் மின்னஞ்சலில் இரண்டு தீங்கிழைக்கும் RTF (Rich Text Format) கோப்புகள் உள்ளன. பாதிக்கப்பட்டவர் இந்தக் கோப்புகளைத் திறந்தால், தொலைநிலை அணுகல் ட்ரோஜன் (RAT) தொடங்கப்பட்டது, இது மற்றவற்றுடன், ஸ்கிரீன் ஷாட்களை எடுக்கவும், பாதிக்கப்பட்டவரின் கணினியில் கோப்புகள் மற்றும் கோப்பகங்களின் பட்டியலை உருவாக்கவும் மற்றும் கோப்புகளைப் பதிவிறக்கவும் திறன் கொண்டது.
இந்த பிரச்சாரம் இதுவரை மங்கோலியாவின் பொதுத் துறையை குறிவைத்துள்ளது, மேலும் சில மேற்கத்திய நிபுணர்களின் கூற்றுப்படி, உலகெங்கிலும் உள்ள பல்வேறு அரசாங்கங்கள் மற்றும் அமைப்புகளுக்கு எதிராக நடந்து வரும் சீன நடவடிக்கையின் சமீபத்திய தாக்குதலை இது பிரதிபலிக்கிறது. இந்த நேரத்தில், பிரச்சாரத்தின் தனித்தன்மை என்னவென்றால், இது புதிய உலகளாவிய கொரோனா வைரஸ் சூழ்நிலையைப் பயன்படுத்தி அதன் சாத்தியமான பாதிக்கப்பட்டவர்களை மிகவும் தீவிரமாக பாதிக்கிறது.
ஃபிஷிங் மின்னஞ்சல் மங்கோலிய வெளியுறவு அமைச்சகத்திடமிருந்து வந்ததாகத் தெரிகிறது மற்றும் வைரஸால் பாதிக்கப்பட்டவர்களின் எண்ணிக்கையைப் பற்றிய தகவல்களைக் கொண்டிருப்பதாகக் கூறுகிறது. இந்தக் கோப்பை ஆயுதமாக்க, தாக்குபவர்கள் RoyalRoad ஐப் பயன்படுத்தினர், இது சீன அச்சுறுத்தல் தயாரிப்பாளர்களிடையே ஒரு பிரபலமான கருவியாகும், இது சிக்கலான சமன்பாடுகளை உருவாக்க MS Word இல் ஒருங்கிணைக்கப்பட்ட சமன்பாடு எடிட்டரில் உள்ள பாதிப்புகளைப் பயன்படுத்தக்கூடிய உட்பொதிக்கப்பட்ட பொருள்களுடன் தனிப்பயன் ஆவணங்களை உருவாக்க அனுமதிக்கிறது.
உயிர்வாழும் நுட்பங்கள்
பாதிக்கப்பட்டவர் தீங்கிழைக்கும் RTF கோப்புகளைத் திறந்தவுடன், தீங்கிழைக்கும் கோப்பை (intel.wll) Word ஸ்டார்ட்அப் கோப்புறையில் (%APPDATA%MicrosoftWordSTARTUP) ஏற்றுவதற்கான பாதிப்பை மைக்ரோசாஃப்ட் வேர்ட் பயன்படுத்துகிறது. இந்த முறையைப் பயன்படுத்தி, அச்சுறுத்தல் மீள்தன்மை அடைவது மட்டுமல்லாமல், சாண்ட்பாக்ஸில் இயங்கும் போது முழு தொற்றுச் சங்கிலியும் வெடிப்பதைத் தடுக்கிறது, ஏனெனில் தீம்பொருளை முழுமையாகத் தொடங்க வேர்ட் மறுதொடக்கம் செய்யப்பட வேண்டும்.
intel.wll கோப்பு, தீம்பொருளைப் பதிவிறக்கம் செய்து ஹேக்கரின் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்ளப் பயன்படும் DLL கோப்பை ஏற்றுகிறது. கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் ஒவ்வொரு நாளும் கண்டிப்பாக வரையறுக்கப்பட்ட காலத்திற்கு செயல்படுகிறது, இது தொற்று சங்கிலியின் மிகவும் சிக்கலான பகுதிகளை பகுப்பாய்வு செய்து அணுகுவதை கடினமாக்குகிறது.
இதுபோன்ற போதிலும், இந்த சங்கிலியின் முதல் கட்டத்தில், பொருத்தமான கட்டளையைப் பெற்ற உடனேயே, RAT ஏற்றப்பட்டு மறைகுறியாக்கப்படுகிறது, மேலும் DLL ஏற்றப்பட்டது, இது நினைவகத்தில் ஏற்றப்படுகிறது என்பதை ஆராய்ச்சியாளர்கள் தீர்மானிக்க முடிந்தது. இந்த பிரச்சாரத்தில் காணப்படும் பேலோடைத் தவிர மற்ற தொகுதிகள் இருப்பதாக செருகுநிரல் போன்ற கட்டமைப்பு அறிவுறுத்துகிறது.
புதிய APTக்கு எதிரான பாதுகாப்பு நடவடிக்கைகள்
இந்தத் தீங்கிழைக்கும் பிரச்சாரமானது பாதிக்கப்பட்டவர்களின் அமைப்புகளில் ஊடுருவி அவர்களின் தகவல் பாதுகாப்பில் சமரசம் செய்ய பல தந்திரங்களைப் பயன்படுத்துகிறது. இத்தகைய பிரச்சாரங்களிலிருந்து உங்களைப் பாதுகாத்துக் கொள்ள, பல நடவடிக்கைகளை எடுக்க வேண்டியது அவசியம்.
முதலாவது மிகவும் முக்கியமானது: மின்னஞ்சல்களைப் பெறும்போது ஊழியர்கள் கவனமாகவும் கவனமாகவும் இருப்பது முக்கியம். மின்னஞ்சல் முக்கிய தாக்குதல் திசையன்களில் ஒன்றாகும், ஆனால் கிட்டத்தட்ட எந்த நிறுவனமும் மின்னஞ்சல் இல்லாமல் செய்ய முடியாது. தெரியாத அனுப்புநரிடமிருந்து மின்னஞ்சலைப் பெற்றால், அதைத் திறக்காமல் இருப்பது நல்லது, நீங்கள் அதைத் திறந்தால், எந்த இணைப்புகளையும் திறக்கவோ அல்லது எந்த இணைப்புகளையும் கிளிக் செய்யவோ வேண்டாம்.
பாதிக்கப்பட்டவர்களின் தகவல் பாதுகாப்பை சமரசம் செய்ய, இந்த தாக்குதல் வேர்டில் உள்ள பாதிப்பை பயன்படுத்துகிறது. உண்மையில், இணைக்கப்படாத பாதிப்புகள் தான் காரணம் , மற்றும் பிற பாதுகாப்பு சிக்கல்களுடன், அவை பெரிய தரவு மீறல்களுக்கு வழிவகுக்கும். அதனால்தான், பாதிப்பை விரைவில் மூடுவதற்கு பொருத்தமான பேட்சைப் பயன்படுத்துவது மிகவும் முக்கியம்.
இந்த சிக்கல்களை அகற்ற, குறிப்பாக அடையாளம் காண வடிவமைக்கப்பட்ட தீர்வுகள் உள்ளன, . நிறுவனத்தின் கணினிகளின் பாதுகாப்பை உறுதி செய்வதற்கும், மிக அவசரமான புதுப்பிப்புகளுக்கு முன்னுரிமை அளிப்பதற்கும், அவற்றின் நிறுவலைத் திட்டமிடுவதற்கும் தேவையான இணைப்புகளைத் தொகுதி தானாகவே தேடுகிறது. சுரண்டல்கள் மற்றும் தீம்பொருள் கண்டறியப்பட்டாலும் நிறுவல் தேவைப்படும் இணைப்புகள் பற்றிய தகவல்கள் நிர்வாகிக்கு தெரிவிக்கப்படும்.
தீர்வு உடனடியாக தேவையான இணைப்புகள் மற்றும் புதுப்பிப்புகளின் நிறுவலைத் தூண்டலாம் அல்லது அவற்றின் நிறுவலை இணைய அடிப்படையிலான மத்திய மேலாண்மை கன்சோலில் இருந்து திட்டமிடலாம், தேவைப்பட்டால் இணைக்கப்படாத கணினிகளைத் தனிமைப்படுத்தலாம். இதன்மூலம், நிறுவனத்தை சீராக இயங்க வைப்பதற்காக, பேட்ச்கள் மற்றும் புதுப்பிப்புகளை நிர்வாகி நிர்வகிக்க முடியும்.
துரதிர்ஷ்டவசமாக, தற்போதைய உலகளாவிய கொரோனா வைரஸ் சூழ்நிலையைப் பயன்படுத்தி வணிகங்களின் தகவல் பாதுகாப்பை சமரசம் செய்ய கேள்விக்குரிய சைபர் தாக்குதல் நிச்சயமாக கடைசியாக இருக்காது.
ஆதாரம்: www.habr.com