எஸ்எஸ்லோட் மால்வேர்
SSLoad எனப்படும் தீம்பொருள் திரிபுகளை விநியோகிக்க ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தி தொடர்ச்சியான இணைய தாக்குதலை பாதுகாப்பு ஆய்வாளர்கள் கண்டுபிடித்துள்ளனர். FROZEN#SHADOW என அழைக்கப்படும் இந்த பிரச்சாரமானது தொலைநிலை டெஸ்க்டாப் அணுகலுக்காக ConnectWise ScreenConnect உடன் கோபால்ட் ஸ்ட்ரைக் பயன்படுத்துகிறது.
SSLoad இன் முதன்மை நோக்கம் இரகசிய ஊடுருவல், தரவு வெளியேற்றம் மற்றும் அதன் கட்டளை மையத்துடன் இரகசிய தொடர்பு. மீறினால், SSLoad நீண்ட கால இருப்பை உறுதி செய்வதற்கும் கண்டறிதலைத் தவிர்ப்பதற்கும் பல்வேறு பின்கதவுகள் மற்றும் பேலோடுகளை நிறுவுகிறது.
பொருளடக்கம்
சைபர் கிரைமினல்களால் பயன்படுத்தப்படும் பல்வேறு தொற்று வெக்டர்கள்
தாக்குதல் சங்கிலிகள் ஆசியா, ஐரோப்பா மற்றும் அமெரிக்கா முழுவதும் உள்ள நிறுவனங்களை குறிவைத்து ஃபிஷிங் செய்திகளைப் பயன்படுத்துவதை உள்ளடக்கியது. இந்த மின்னஞ்சல்களில் ஜாவாஸ்கிரிப்ட் கோப்புகளுக்கான இணைப்புகள் உள்ளன, இது தொற்று செயல்முறையைத் தொடங்குகிறது.
ஆராய்ச்சியாளர்களின் முந்தைய கண்டுபிடிப்புகள் SSLoad க்கான இரண்டு வேறுபட்ட விநியோக முறைகளை எடுத்துக்காட்டுகின்றன. ஒரு முறை தீங்கிழைக்கும் URLகளை உட்பொதிக்க இணையதள தொடர்பு படிவங்களைப் பயன்படுத்துகிறது, மற்றொன்று மேக்ரோ-இயக்கப்பட்ட Microsoft Word ஆவணங்களைப் பயன்படுத்துகிறது. பிந்தைய முறையானது தீம்பொருள் வழியாக கோபால்ட் ஸ்ட்ரைக் விநியோகத்தை எளிதாக்குகிறது, அதே சமயம் முந்தையது Latrodectus எனப்படும் மற்றொரு தீம்பொருள் மாறுபாட்டை விநியோகிக்கிறது, இதுIcedID ஐப் பின்தொடரும்.
SSLoad தாக்குதல் எவ்வாறு செயல்படுகிறது?
மறைக்கப்பட்ட ஜாவாஸ்கிரிப்ட் கோப்பு ('out_czlrh.js') wscript.exe மூலம் இயங்குகிறது, '\wireoneinternet[.]info@80\share' இல் உள்ள பிணையப் பகிர்விலிருந்து MSI நிறுவி கோப்பை ('slack.msi') மீட்டெடுப்பதற்கான செயல்முறையைத் தொடங்குகிறது. . கிடைத்ததும், நிறுவி இயக்க msiexec.exe ஐப் பயன்படுத்துகிறது.
பின்னர், MSI நிறுவி, rundll32.exe வழியாக SSLoad மால்வேர் பேலோடைப் பெறுவதற்கும் பயன்படுத்துவதற்கும் தாக்குபவர் கட்டுப்படுத்தும் டொமைனுடன் தொடர்பை ஏற்படுத்துகிறது. இதைத் தொடர்ந்து, சமரசம் செய்யப்பட்ட அமைப்பு ஒரு கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு சமிக்ஞைகளை அனுப்புகிறது, தகவலை அனுப்புகிறது.
இந்த ஆரம்ப உளவு நிலை கோபால்ட் ஸ்ட்ரைக், ஒரு சட்டபூர்வமான எதிரி உருவகப்படுத்துதல் மென்பொருளுக்கு மேடை அமைக்கிறது, இது ScreenConnect ஐ பதிவிறக்கம் செய்து நிறுவ பயன்படுத்தப்படுகிறது. இது அச்சுறுத்தல் நடிகர்களை ஹோஸ்ட் மீது ரிமோட் கண்ட்ரோலைப் பெற உதவுகிறது.
தாக்குபவர்கள் பாதிக்கப்பட்டவரின் நெட்வொர்க் முழுவதும் சாதனங்களைத் தாக்கி, முக்கியமான தரவை சமரசம் செய்கிறார்கள்
முழுமையான கணினி அணுகலைப் பெற்ற பிறகு, அச்சுறுத்தல் நடிகர்கள் நற்சான்றிதழ் கையகப்படுத்துதலைத் தொடங்கி, முக்கியமான கணினித் தகவலைச் சேகரிக்கின்றனர். சைபர் கிரைமினல்கள் பாதிக்கப்பட்ட ஹோஸ்டை கோப்புகள் மற்றும் பிற முக்கியமான ஆவணங்களில் சேமிக்கப்பட்ட நற்சான்றிதழ்களுக்காக ஸ்கேன் செய்யத் தொடங்குகின்றனர்.
மேலும், தாக்குபவர்கள் டொமைன் கன்ட்ரோலர் உட்பட நெட்வொர்க்கிற்குள் உள்ள பிற அமைப்புகளுக்குச் செல்கிறார்கள், இறுதியில் பாதிக்கப்பட்டவரின் விண்டோஸ் டொமைனை தங்கள் சொந்த டொமைன் நிர்வாகி கணக்கை நிறுவுவதன் மூலம் மீறுகின்றனர்.
இந்த உயர் மட்ட அணுகல், தவறான எண்ணம் கொண்ட நடிகர்கள் டொமைனுக்குள் இணைக்கப்பட்ட எந்த இயந்திரத்திற்கும் நுழைவதை வழங்குகிறது. இறுதியில், இந்த சூழ்நிலையானது எந்தவொரு நிறுவனத்திற்கும் மோசமான விளைவைப் பிரதிபலிக்கிறது, ஏனெனில் தாக்குபவர்களால் அடையப்பட்ட விடாமுயற்சி, தீர்வுக்காக விரிவான நேரத்தையும் வளங்களையும் தேவைப்படுகிறது.
FROZEN#SHADOW போன்ற தாக்குதல் பிரச்சாரங்களுக்கு எதிராக நடவடிக்கை எடுக்கவும்
வெற்றிகரமான மீறல்களைச் செயல்படுத்தவும், தீம்பொருளை அறிமுகப்படுத்தவும் மற்றும் உள் அமைப்புகளை சமரசம் செய்யவும் அச்சுறுத்தல் நடிகர்களுக்கு ஃபிஷிங் சிறந்த முறையாக உள்ளது. முன்னணிப் பயனர்கள் இந்த அச்சுறுத்தல்களை அடையாளம் கண்டுகொள்வதும் அவற்றை எவ்வாறு அடையாளம் காண்பது என்பதைப் புரிந்துகொள்வதும் முக்கியமானதாகும். கோரப்படாத மின்னஞ்சல்கள், குறிப்பாக எதிர்பாராத உள்ளடக்கம் அல்லது அவசர உணர்வு போன்றவற்றில் எச்சரிக்கையாக இருங்கள்.
தடுப்பு மற்றும் கண்டறிதல் அடிப்படையில், அறியப்படாத வெளிப்புற மூலங்களிலிருந்து கோப்புகள் அல்லது இணைப்புகளைப் பதிவிறக்குவதைத் தவிர்க்குமாறு ஆராய்ச்சியாளர்கள் பரிந்துரைக்கின்றனர், குறிப்பாக அவை கோரப்படாதவை. தாக்குதல்களில் பயன்படுத்தப்படும் பொதுவான கோப்பு வகைகளில் zip, rar, iso மற்றும் pdf ஆகியவை அடங்கும், இந்த பிரச்சாரத்தில் குறிப்பாக ஜிப் கோப்புகள் பயன்படுத்தப்படுகின்றன. கூடுதலாக, பொதுவாக இலக்கு வைக்கப்பட்ட மால்வேர் ஸ்டேஜிங் கோப்பகங்களைக் கண்காணிப்பது அறிவுறுத்தப்படுகிறது, குறிப்பாக எழுதக்கூடிய கோப்பகங்களில் ஸ்கிரிப்ட் தொடர்பான செயல்பாட்டிற்கு.
FROZEN#SHADOW பிரச்சாரத்தின் பல்வேறு கட்டங்களில், அச்சுறுத்தல் நடிகர்கள் போர்ட் 443 இல் மறைகுறியாக்கப்பட்ட சேனல்களைக் கண்டறிவதைத் தவிர்க்கப் பயன்படுத்தினர். எனவே, மேம்பட்ட கண்டறிதல் கவரேஜிற்காக கூடுதல் செயல்முறை-நிலை பதிவுகளை மேம்படுத்துவது உட்பட, வலுவான இறுதிப்புள்ளி பதிவு செய்யும் திறன்களைப் பயன்படுத்துதல் கடுமையாகப் பரிந்துரைக்கப்படுகிறது.
