வட கொரிய ஹேக்கர்கள் தென்கிழக்கு ஆசியா முழுவதும் திருட்டுத்தனமான தாக்குதல்களில் புதிய வெயில்ஷெல் பின்கதவை பயன்படுத்துகின்றனர்
ஒரு புதிய வெளிப்பாட்டில், வட கொரிய இணைய-உளவு குழுக்கள் தென்கிழக்கு ஆசியா முழுவதும் திருட்டுத்தனமான சைபர் தாக்குதல்களை செயல்படுத்த VeilShell எனப்படும் புதிய பின்கதவு தீம்பொருளைப் பயன்படுத்துவதைக் கண்டறிந்துள்ளனர். InkySquid, Reaper, RedEyes மற்றும் ScarCruft போன்ற பல மாற்றுப்பெயர்களின் கீழ் செயல்படும் ஒரு மோசமான ஹேக்கிங் குழுவான APT37 உடன் பாதுகாப்பு வல்லுநர்கள் இந்த செயல்பாட்டை இணைத்துள்ளனர். வட கொரியாவின் மாநில பாதுகாப்பு அமைச்சகத்துடனான இணைப்புகளுடன், APT37 2012 முதல் செயலில் உள்ளது மற்றும் அரசு மற்றும் கார்ப்பரேட் துறைகளை குறிவைத்து அதன் அதிநவீன இணைய பிரச்சாரங்களுக்கு இழிவானது.
பொருளடக்கம்
மூடிய #தூக்கம் பிரச்சாரம்
பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்த சமீபத்திய நடவடிக்கைக்கு SHROUDED#SLEEP என்று பெயரிட்டுள்ளனர், இது இந்த சைபர் குற்றவாளிகளால் வெளிப்படுத்தப்படும் திருட்டுத்தனம் மற்றும் பொறுமைக்கு பொருத்தமான பெயர். கம்போடியா மற்றும் தென்கிழக்கு ஆசியாவின் பிற நாடுகளில் குறிப்பிட்ட கவனம் செலுத்தி இந்த குழு இந்த பிரச்சாரத்தை மேற்கொள்வதாக நம்பப்படுகிறது. VeilShell, தொலைநிலை அணுகல் ட்ரோஜன் (RAT) ஐ மேம்படுத்துவதன் மூலம், தாக்குபவர்கள் சமரசம் செய்யப்பட்ட இயந்திரங்களின் முழு கட்டுப்பாட்டைப் பெறுவதை நோக்கமாகக் கொண்டுள்ளனர்.
வெயில்ஷெல் எப்படி வேலை செய்கிறது?
இந்த தாக்குதலின் தனித்துவமான அம்சங்களில் ஒன்று, வெயில்ஷெல் அதன் இலக்கு அமைப்புகளில் எவ்வாறு நுழைகிறது என்பதுதான். ஆரம்ப பேலோட் எவ்வாறு வழங்கப்படுகிறது என்பது இன்னும் தெளிவாகத் தெரியவில்லை என்றாலும், குழு ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்துகிறது என்று நிபுணர்கள் சந்தேகிக்கின்றனர் - இது தீங்கிழைக்கும் இணைப்புகளைக் கிளிக் செய்வதற்கு அல்லது பாதிக்கப்பட்ட கோப்புகளைப் பதிவிறக்குவதற்கு தனிநபர்களை ஏமாற்றுவதற்கு மிகவும் இலக்கு வைக்கப்பட்ட முறையாகும். முதல்-நிலை பேலோட் விண்டோஸ் ஷார்ட்கட் (LNK) கோப்பைக் கொண்ட ZIP காப்பகத்தின் வழியாக வழங்கப்படும்.
சந்தேகத்திற்கு இடமில்லாத பயனர் LNK கோப்பைத் துவக்கியதும், அது செயல்களின் வரிசையைத் தூண்டுகிறது. பவர்ஷெல் குறியீடு—விண்டோஸ் சூழல்களில் பொதுவாகப் பயன்படுத்தப்படும் ஸ்கிரிப்டிங் மொழி—திரைக்குப் பின்னால் இயங்கி, கோப்பிற்குள் மறைந்திருக்கும் கூடுதல் கூறுகளைப் பிரித்தெடுக்கிறது. சந்தேகத்தை எழுப்புவதைத் தவிர்ப்பதற்காக, மைக்ரோசாஃப்ட் எக்செல் அல்லது பிடிஎஃப் கோப்பு போன்ற அப்பாவித் தோற்றமளிக்கும் ஆவணத்தின் மூலம் பயனரின் கவனத்தை இந்தத் தாக்குதல் திசை திருப்புகிறது.
உண்மையான அச்சுறுத்தல் DomainManager.dll இலிருந்து வருகிறது, இது விண்டோஸ் ஸ்டார்ட்அப் கோப்புறையில் மூலோபாயமாக வைக்கப்படும் ஒரு தீங்கிழைக்கும் கோப்பாகும், இது ஒவ்வொரு முறையும் கணினி மறுதொடக்கம் செய்யும் போது தொடர்ந்து இயங்குவதை உறுதி செய்கிறது. இந்தக் கோப்பு ரிமோட் கமாண்ட்-அண்ட்-கண்ட்ரோல் (C2) சர்வருடன் தொடர்புகொண்டு, பாதிக்கப்பட்ட சாதனத்தின் மீது தாக்குபவர்களுக்குக் கட்டுப்பாட்டை அளிக்கிறது. அங்கிருந்து, அவர்கள் கோப்புகளை உளவு பார்க்கலாம், முக்கியமான தரவைப் பதிவேற்றலாம், மேலும் தீங்கிழைக்கும் கருவிகளைப் பதிவிறக்கலாம் மற்றும் அவற்றின் தடங்களை மறைக்க கோப்புகளை நீக்கலாம் அல்லது மறுபெயரிடலாம்.
AppDomainManager ஊசி: ஒரு ஸ்னீக்கி டெக்னிக்
இந்த தாக்குதலை மற்ற சைபர் தாக்குதல்களில் இருந்து வேறுபடுத்துவது AppDomainManager இன்ஜெக்ஷன் என்ற நுட்பத்தின் புத்திசாலித்தனமான பயன்பாடு ஆகும். இது சிக்கலானதாகத் தோன்றினாலும், முறையான நிரல் தொடங்கும் ஒவ்வொரு முறையும், எந்த அலாரத்தையும் எழுப்பாமல், தீங்கிழைக்கும் குறியீட்டை இயக்க இந்த முறை அடிப்படையில் தாக்குபவர்களை அனுமதிக்கிறது. இந்த தந்திரோபாயம் சமீபத்தில் சீனாவுடன் இணைந்த மற்றொரு ஹேக்கர் குழுவால் பயன்படுத்தப்பட்டது, இந்த நுட்பம் உலகளவில் சைபர் கிரைமினல்கள் மத்தியில் பிரபலமடைந்து வருவதைக் குறிக்கிறது.
நீண்ட விளையாட்டு: APT37 கண்டறிதலை எவ்வாறு தவிர்க்கிறது
இந்த பிரச்சாரம் நீண்ட காலமாக கண்டறியப்படாமல் இருப்பதற்கு ஒரு காரணம், தாக்குபவர்களின் பொறுமை. VeilShell ஐ வெற்றிகரமாக பயன்படுத்திய பிறகு, அவர்கள் அதை உடனே செயல்படுத்துவதில்லை. மாறாக, கணினி மறுதொடக்கம் செய்யப்படும் வரை தீம்பொருள் செயலற்ற நிலையில் இருக்கும். இந்த தாமதமான செயல்படுத்தல், நீண்ட தூக்க நேரங்களுடன் இணைந்து (செயல்படுத்துவதில் இடைநிறுத்தங்கள்), பாரம்பரிய பாதுகாப்பு கருவிகள் மூலம் தீம்பொருளைக் கண்டறிவதை கடினமாக்குகிறது. இந்த நுட்பங்கள் ஹேக்கர்கள் நீண்ட காலத்திற்கு கண்டறிவதைத் தவிர்க்க உதவுகின்றன, மேலும் அவர்கள் உளவுத்துறையைச் சேகரிக்கவும் சமரசம் செய்யப்பட்ட அமைப்புகளின் மீது கட்டுப்பாட்டைப் பராமரிக்கவும் அனுமதிக்கிறது.
தாக்கங்கள் மற்றும் எதிர்கால அச்சுறுத்தல்கள்
இந்த சமீபத்திய கண்டுபிடிப்பு வட கொரியாவின் இணைய திறன்கள் மீது அதிகரித்து வரும் கவலையை அதிகரிக்கிறது. APT37, Lazarus மற்றும் Kimsuky போன்ற குழுக்கள் அனைத்தும் உளவு பார்த்தல், நிதி ஆதாயம் மற்றும் நாசவேலையை இலக்காகக் கொண்ட அரசு வழங்கும் இணையத் தாக்குதல்களுடன் இணைக்கப்பட்டுள்ளன. VeilShell போன்ற அதிநவீன கருவிகளின் பயன்பாடு அதிகரித்து வருவதால், இந்த குழுக்கள் உலகளாவிய இணைய பாதுகாப்பு நிலப்பரப்புக்கு ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலை ஏற்படுத்துகின்றன.
வட கொரிய ஹேக்கிங் குழுக்கள் அமெரிக்கா மற்றும் ஐரோப்பா உட்பட பல பகுதிகளை குறிவைத்த வரலாற்றைக் கொண்டிருப்பதால், இந்த பிரச்சாரம் தென்கிழக்கு ஆசியாவிற்கு அப்பால் எளிதில் பரவக்கூடும் என்று நிபுணர்கள் எச்சரிக்கின்றனர். உண்மையில், வெயில்ஷெல் கண்டுபிடிப்புக்கு சில நாட்களுக்கு முன்பு, Andariel என்று அழைக்கப்படும் மற்றொரு வட கொரிய குழு அமெரிக்க அமைப்புகளுக்கு எதிராக நிதி ரீதியாக ஊக்கமளிக்கும் பிரச்சாரத்தில் தாக்குதல்களை நடத்தியது.
வெயில்ஷெல் மற்றும் இதே போன்ற அச்சுறுத்தல்களுக்கு எதிராகப் பாதுகாத்தல்
நிறுவனங்கள் மற்றும் தனிநபர்களுக்கு, இது ஈட்டி-ஃபிஷிங் முயற்சிகளுக்கு எதிராக விழிப்புடன் இருப்பதன் முக்கியத்துவத்தை எடுத்துக்காட்டுகிறது மற்றும் அனைத்து அமைப்புகளும் சமீபத்திய பாதுகாப்பு இணைப்புகளுடன் தொடர்ந்து புதுப்பிக்கப்படுவதை உறுதிசெய்கிறது. இத்தகைய தாக்குதல்களின் அபாயத்தைக் குறைக்க சில குறிப்புகள் இங்கே:
- எதிர்பாராத மின்னஞ்சல்கள் குறித்து எச்சரிக்கையாக இருங்கள்: நீங்கள் எதிர்பார்க்காத கோப்பு இணைப்பு அல்லது இணைப்புடன் மின்னஞ்சலைப் பெற்றால், அதைக் கிளிக் செய்வதற்கு முன் இருமுறை யோசிக்கவும்.
- மென்பொருளைப் புதுப்பித்த நிலையில் வைத்திருங்கள்: ஆப்பரேட்டிங் சிஸ்டம் மற்றும் அப்ளிகேஷன்களைத் தொடர்ந்து பேட்ச் செய்வது, தாக்குபவர்கள் பயன்படுத்தும் பாதுகாப்பு இடைவெளிகளை மூட உதவும்.
முடிவில், VeilShell மால்வேர் மற்றும் SHROUDED#SLEEP பிரச்சாரம் ஆகியவை இணையப் பாதுகாப்பு உலகில் எப்போதும் உருவாகி வரும் அச்சுறுத்தல்களை அப்பட்டமாக நினைவூட்டுகின்றன. எச்சரிக்கையாக இருப்பதன் மூலமும், செயலில் பாதுகாப்பு நடவடிக்கைகளை மேற்கொள்வதன் மூலமும், தனிநபர்களும் வணிகங்களும் இந்த ஆபத்தான நடிகர்களை விட ஒரு படி மேலே இருக்க முடியும்.