MgBot பின்னணி

சீனாவுடன் இணைந்த ஒரு அதிநவீன, மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நடவடிக்கை, MgBot பின்கதவை வழங்க டொமைன் பெயர் அமைப்பு (DNS) உள்கட்டமைப்பை துஷ்பிரயோகம் செய்த நீண்டகால சைபர் உளவு பிரச்சாரத்திற்குக் காரணம் என்று கூறப்படுகிறது. இந்த பிரச்சாரம் துருக்கி, சீனா மற்றும் இந்தியாவில் கவனமாக தேர்ந்தெடுக்கப்பட்ட பாதிக்கப்பட்டவர்களை மையமாகக் கொண்டது, மேலும் நவம்பர் 2022 முதல் நவம்பர் 2024 வரை செயலில் இருந்தது.

இந்த நடவடிக்கைக்குப் பின்னால் உள்ள எதிரி

இந்த நடவடிக்கை, Evasive Panda என்று பரவலாக அறியப்படும் அச்சுறுத்தல் நடிகருடன் இணைக்கப்பட்டுள்ளது, இது Bronze Highland, Daggerfly மற்றும் StormBamboo என்ற பெயர்களிலும் கண்காணிக்கப்படுகிறது. இந்த குழு குறைந்தது 2012 முதல் செயல்பட்டு வருவதாக மதிப்பிடப்பட்டுள்ளது மற்றும் பரந்த, சந்தர்ப்பவாத தாக்குதல்களுக்குப் பதிலாக அதிக இலக்கு ஊடுருவல்களுக்கு பெயர் பெற்றது.

மைய உத்தியாக நடுவில் எதிரி

பிரச்சாரத்தின் மையத்தில் எதிரி-நடுத்தர (AitM) நுட்பங்களைப் பயன்படுத்துவதாகும். பாதிக்கப்பட்டவர்கள் தங்கள் கட்டுப்பாட்டின் கீழ் உள்ள உள்கட்டமைப்புக்கு அமைதியாக திருப்பி விடப்படும் வகையில் தாக்குபவர்கள் DNS பதில்களைக் கையாண்டனர். மால்வேர் ஏற்றிகள் துல்லியமான கோப்பு இடங்களில் வைக்கப்பட்டன, அதே நேரத்தில் மறைகுறியாக்கப்பட்ட கூறுகள் தாக்குபவர் கட்டுப்படுத்தும் சேவையகங்களில் ஹோஸ்ட் செய்யப்பட்டன மற்றும் முறையான வலைத்தளங்களுடன் தொடர்புடைய குறிப்பிட்ட DNS வினவல்களுக்கு மட்டுமே வழங்கப்பட்டன.

DNS நச்சு துஷ்பிரயோகத்தின் ஒரு வடிவம்

இந்தப் பிரச்சாரம் தனிமைப்படுத்தப்பட்ட வழக்கு அல்ல. எவாசிவ் பாண்டா DNS விஷத்தில் பலமுறை நிபுணத்துவத்தை நிரூபித்துள்ளது. முந்தைய ஆராய்ச்சி ஏப்ரல் 2023 இல் இதேபோன்ற தந்திரோபாயங்களை எடுத்துக்காட்டுகிறது, அப்போது அந்தக் குழு சீனாவின் மெயின்லேண்டில் உள்ள ஒரு சர்வதேச அரசு சாரா நிறுவனத்திற்கு எதிராக டென்சென்ட் QQ போன்ற நம்பகமான மென்பொருளின் ட்ரோஜனேற்றப்பட்ட பதிப்புகளை விநியோகிக்க விநியோகச் சங்கிலி சமரசம் அல்லது AitM தாக்குதலைப் பயன்படுத்தியிருக்கலாம்.

ஆகஸ்ட் 2024 இல், மேலும் அறிக்கைகள், குழு பெயர் குறிப்பிடப்படாத இணைய சேவை வழங்குநரை (ISP) சமரசம் செய்து, தேர்ந்தெடுக்கப்பட்ட இலக்குகளுக்கு தீங்கிழைக்கும் மென்பொருள் புதுப்பிப்புகளை விநியோகிக்க விஷம் கலந்த DNS பதில்களை தவறாகப் பயன்படுத்தியதை வெளிப்படுத்தின.

சீனாவுடன் இணைந்த AitM நடிகர்களின் பரந்த சுற்றுச்சூழல் அமைப்பு

எவாசிவ் பாண்டா என்பது சீனாவுடன் இணைந்த அச்சுறுத்தல் குழுக்களின் ஒரு பகுதியாகும், அவை தீம்பொருள் விநியோகம் மற்றும் நெட்வொர்க்குகளுக்குள் இயக்கத்திற்கு AitM-அடிப்படையிலான விஷத்தை நம்பியுள்ளன. ஆய்வாளர்கள் இதேபோன்ற அணுகுமுறைகளைப் பயன்படுத்தி குறைந்தது பத்து செயலில் உள்ள குழுக்களை அடையாளம் கண்டுள்ளனர், இந்த சுற்றுச்சூழல் அமைப்பிற்குள் DNS கையாளுதல் ஒரு விருப்பமான நுட்பமாக மாறியுள்ளது என்பதை அடிக்கோடிட்டுக் காட்டுகிறது.

ஆயுதமயமாக்கப்பட்ட மென்பொருள் புதுப்பிப்புகள் கவர்ச்சிகளாக

ஆவணப்படுத்தப்பட்ட ஊடுருவல்களில், பாதிக்கப்பட்டவர்கள் முறையான மூன்றாம் தரப்பு மென்பொருளாக மாறுவேடமிட்டு போலி புதுப்பிப்புகளால் ஈர்க்கப்பட்டனர். ஒரு முக்கிய கவர்ச்சியானது சீன தொழில்நுட்ப நிறுவனமான சோஹுவின் வீடியோ ஸ்ட்ரீமிங் பயன்பாடான சோஹுவாவிற்கான புதுப்பிப்புகளை ஆள்மாறாட்டம் செய்தது. இந்தப் புதுப்பிப்பு p2p.hd.sohu.com[.]cn என்ற முறையான டொமைனிலிருந்து தோன்றியதாகத் தோன்றியது, பயன்பாடு அதன் நிலையான கோப்பகத்தில் appdata\roaming\shapp\7.0.18.0\package இன் கீழ் பைனரிகளைப் புதுப்பிக்க முயற்சித்தபோது, தீங்கிழைக்கும் சேவையகத்திற்கு போக்குவரத்தைத் திருப்பிவிட DNS விஷம் பயன்படுத்தப்பட்டதாக வலுவாகக் குறிக்கிறது.

Baidu இன் iQIYI வீடியோ, IObit ஸ்மார்ட் டெஃப்ராக் மற்றும் டென்சென்ட் QQ ஆகியவற்றிற்கான போலி புதுப்பிப்பாளர்களை துஷ்பிரயோகம் செய்யும் இணையான பிரச்சாரங்களையும் ஆராய்ச்சியாளர்கள் கவனித்தனர்.

நம்பகமான டொமைன்கள் வழியாக பல-நிலை பேலோட் டெலிவரி

போலி புதுப்பிப்பை வெற்றிகரமாக செயல்படுத்தியதன் மூலம், ஷெல்கோடைத் தொடங்கும் ஒரு ஆரம்ப ஏற்றி பயன்படுத்தப்பட்டது. இந்த ஷெல்கோடு, PNG படமாக மாறுவேடமிட்டு, மறைகுறியாக்கப்பட்ட இரண்டாம்-நிலை பேலோடை மீண்டும் DNS விஷம் மூலம் மீட்டெடுத்தது, இந்த முறை dictionary.com என்ற முறையான டொமைனை தவறாகப் பயன்படுத்தியது.

தாக்குபவர்கள் DNS தெளிவுத்திறனைக் கையாண்டனர், இதனால் dictionary.com பாதிக்கப்பட்டவரின் புவியியல் இருப்பிடம் மற்றும் ISP ஆல் தேர்ந்தெடுக்கப்பட்ட முறையில் தீர்மானிக்கப்படும் தாக்குபவர் கட்டுப்படுத்தும் IP முகவரிகளுக்குத் தீர்வு காணப்பட்டது. இந்த பேலோடைப் பெறப் பயன்படுத்தப்படும் HTTP கோரிக்கையில் பாதிக்கப்பட்டவரின் Windows பதிப்பு அடங்கும், இது தாக்குபவர்கள் குறிப்பிட்ட இயக்க முறைமை கட்டமைப்புகளுக்கு ஏற்ப பின்தொடர்தல் செயல்களை வடிவமைக்க உதவும். இந்த தேர்ந்தெடுக்கப்பட்ட இலக்கு MACMA எனப்படும் macOS தீம்பொருளின் விநியோகம் உட்பட வாட்டர் ஹோல் தாக்குதல்களின் குழுவின் முந்தைய பயன்பாட்டை எதிரொலிக்கிறது.

DNS விஷம் எவ்வாறு அடையப்பட்டிருக்கலாம்

DNS பதில்களை விஷமாக்கப் பயன்படுத்தப்படும் துல்லியமான முறை உறுதிப்படுத்தப்படவில்லை என்றாலும், புலனாய்வாளர்கள் இரண்டு முதன்மை சாத்தியக்கூறுகளை சந்தேகிக்கின்றனர்:

• பாதிக்கப்பட்ட ISP-களின் தேர்ந்தெடுக்கப்பட்ட சமரசம், DNS போக்குவரத்தை கையாள விளிம்பு சாதனங்களில் நெட்வொர்க் உள்வைப்புகளை உள்ளடக்கியதாக இருக்கலாம்.
• பாதிக்கப்பட்ட சூழல்களுக்குள் உள்ள திசைவிகள் அல்லது ஃபயர்வால்களை நேரடியாக சமரசம் செய்து, DNS பதில்களை உள்ளூரில் மாற்றுதல்.

அதிநவீன ஏற்றி சங்கிலி மற்றும் தனிப்பயன் குறியாக்கம்

இரண்டாம் கட்ட தீம்பொருள் விநியோக செயல்முறை வேண்டுமென்றே சிக்கலானது. ஆரம்ப ஷெல்குறியீடு பாதிக்கப்பட்டவருக்கு குறிப்பிட்ட பேலோடை மறைகுறியாக்கி செயல்படுத்துகிறது, இந்த அணுகுமுறை ஒவ்வொரு இலக்கிற்கும் ஒரு தனித்துவமான மறைகுறியாக்கப்பட்ட கோப்பை உருவாக்குவதன் மூலம் கண்டறிதலைக் குறைக்கும் என்று நம்பப்படுகிறது.

libpython2.4.dll என மாறுவேடமிட்டுள்ள ஒரு இரண்டாம் நிலை ஏற்றி, மறுபெயரிடப்பட்ட, காலாவதியான python.exe ஐ சைட்லோட் செய்வதை நம்பியுள்ளது. செயல்படுத்தப்பட்டதும், அது C:\ProgramData\Microsoft\eHome\perf.dat இலிருந்து படிப்பதன் மூலம் அடுத்த கட்ட பேலோடை மீட்டெடுத்து டிக்ரிப்ட் செய்கிறது. இந்தக் கோப்பில் முதலில் XOR-என்கிரிப்ட் செய்யப்பட்டு, பின்னர் டிக்ரிப்ட் செய்யப்பட்டு, இறுதியாக மைக்ரோசாப்டின் டேட்டா ப்ரொடெக்ஷன் API (DPAPI) மற்றும் RC5 அல்காரிதத்தின் தனிப்பயன் கலப்பினத்தைப் பயன்படுத்தி மீண்டும் என்கிரிப்ட் செய்யப்பட்ட மால்வேர் உள்ளது. இந்த வடிவமைப்பு, பேலோடை அசல் பாதிக்கப்பட்ட அமைப்பில் மட்டுமே டிக்ரிப்ட் செய்ய முடியும் என்பதை உறுதி செய்கிறது, இது இடைமறிப்பு மற்றும் ஆஃப்லைன் பகுப்பாய்வை கணிசமாக சிக்கலாக்குகிறது.

MgBot: ஒரு திருட்டுத்தனமான மற்றும் திறமையான உள்வைப்பு

மறைகுறியாக்கத்திற்குப் பிறகு, பேலோடு ஒரு முறையான svchost.exe செயல்முறையில் செலுத்தப்படுகிறது, இது MgBot பின்புறக் கதவின் மாறுபாடாக தன்னை வெளிப்படுத்துகிறது. இந்த மட்டு உள்வைப்பு பரந்த அளவிலான உளவு செயல்பாடுகளை ஆதரிக்கிறது, அவற்றுள்:

• கோப்பு சேகரிப்பு மற்றும் வெளியேற்றம்
• கீஸ்ட்ரோக் பதிவு மற்றும் கிளிப்போர்டு அறுவடை
• ஆடியோ பதிவு
• உலாவியில் சேமிக்கப்பட்ட சான்றுகள் திருடப்பட்டன

இந்தத் திறன்கள், தாக்குபவர்கள் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு நீண்டகால, ரகசிய அணுகலைப் பராமரிக்க உதவுகின்றன.

ஒரு வளர்ந்து வரும் மற்றும் தொடர்ச்சியான அச்சுறுத்தல்

இந்த பிரச்சாரம் Evasive Panda-வின் தொடர்ச்சியான பரிணாமத்தையும் தொழில்நுட்ப நுட்பத்தையும் எடுத்துக்காட்டுகிறது. DNS விஷமாக்கல், நம்பகமான-பிராண்ட் ஆள்மாறாட்டம், பல அடுக்கு ஏற்றிகள் மற்றும் அமைப்பு-கட்டமைக்கப்பட்ட குறியாக்கத்தை இணைப்பதன் மூலம், குழு அதிக மதிப்புள்ள இலக்குகளுக்கு தொடர்ச்சியான அணுகலைத் தக்கவைத்துக்கொண்டு பாதுகாப்புகளைத் தவிர்க்கும் தெளிவான திறனை நிரூபிக்கிறது. இந்த செயல்பாடு வலுவான DNS பாதுகாப்பு, விநியோகச் சங்கிலி சரிபார்ப்பு மற்றும் உணர்திறன் சூழல்களில் புதுப்பிப்பு வழிமுறைகளின் கண்காணிப்பு ஆகியவற்றின் தேவையை வலுப்படுத்துகிறது.