சைபர் பாதுகாப்பு விளக்கம்
ஃபிஷிங் மற்றும் பிற தீம்பொருள் தாக்குதல்களைச் செய்வதற்கான அதிநவீன நுட்பங்களைக் கொண்ட ஒரு தொழில்முறை ஹேக்கிங் குழு அதன் திசையை மாற்றுவதாகத் தெரிகிறது. அளவை விட தரத்திற்கு முன்னுரிமை அளிக்கும் தெளிவான நோக்கத்துடன், பிரபலமற்ற TA505 ஹேக்கர்கள் குழு ஆண்ட்ரோமட் என்ற தீங்கிழைக்கும் குறியீட்டின் புதிய வடிவத்தைப் பயன்படுத்தி முன்னிலைப்படுத்தியுள்ளது. சுவாரஸ்யமாக, தீம்பொருள் ஆண்ட்ரோமெடாவால் ஈர்க்கப்பட்டதாகத் தெரிகிறது. முதலில் மற்றொரு ஹேக்கிங் குழுவால் வடிவமைக்கப்பட்ட ஆண்ட்ரோமெடா 2017 ஆம் ஆண்டைப் போலவே உலகின் மிகப்பெரிய தீம்பொருள் போட்நெட்டுகளில் ஒன்றாகும். ஆண்ட்ரோமெடா குறியீட்டை அடிப்படையாகக் கொண்ட போட்நெட்டுகள் விண்டோஸ் ஆப்பரேட்டிங் சிஸ்டத்தில் இயங்கும் பல சந்தேகத்திற்கிடமான மற்றும் பாதிக்கப்படக்கூடிய பிசிக்களில் அதன் பேலோட் விநியோகத்தை வெற்றிகரமாக செயல்படுத்தின. ஆண்ட்ரோமட் பெரும்பாலும் இந்த ஆண்ட்ரோமெடா குறியீட்டை அடிப்படையாகக் கொண்டது, இது ஹேக்கர் குழுக்களுக்கு இடையிலான ஒத்துழைப்பைக் குறிக்கிறது.
தங்களை TA505 என்று அழைக்கும் உலகின் மிக வெற்றிகரமான சைபர் கிரைமினல் குழுக்களில் ஒன்று, அதன் தந்திரோபாயங்களை மாற்றியதாகத் தெரிகிறது. நிதித் தகவல்களைத் தாக்கி திருடும் சமீபத்திய தீங்கிழைக்கும் பிரச்சாரத்தின் ஒரு பகுதியாக, குழு புதிய வடிவிலான தீம்பொருளை விநியோகிப்பதில் மும்முரமாக உள்ளது. மையத்தின் ஒரு பகுதியாக, அதிக எண்ணிக்கையிலான தனிநபர்களை குறிவைப்பதற்கு பதிலாக, TA505 குழு வங்கிகள் மற்றும் பிற நிதி சேவைகளைப் பின்பற்றுவதாகத் தெரிகிறது. தற்செயலாக, நுழைவு அல்லது தோற்றத்தின் புள்ளி அப்படியே இருக்கும், ஆனால் நோக்கம் கொண்ட இலக்கு மற்றும் கவனம் ஒழுங்கமைக்கப்பட்ட நிதித் துறையில் இருப்பதாகத் தெரிகிறது. தற்செயலாக, அமெரிக்கா, ஐக்கிய அரபு எமிரேட்ஸ் மற்றும் சிங்கப்பூர் ஆகிய நாடுகளில் உள்ள நிதி நிறுவனங்கள் அதிக எச்சரிக்கையுடன் இருக்கவும், சந்தேகத்திற்கிடமான உள்ளடக்கங்களைத் தேடவும் அறிவுறுத்தப்படுகின்றன. தாக்குதலின் பொதுவான புள்ளிகள் சில அதிகாரப்பூர்வ தோற்றமுடைய மின்னஞ்சல்களாகவே இருக்கின்றன.
ஆண்ட்ரோமுட்டை உருவாக்க மற்றும் வரிசைப்படுத்த TA505 குழு ஆண்ட்ரோமெடா தளத்தைப் பயன்படுத்துகிறது
பிரபலமற்ற TA505 குழு கடந்த மாதத்தில் அதன் தீவிரத்தை அதிகரித்ததாகத் தெரிகிறது மற்றும் அதே மூர்க்கத்தனத்துடன் தொடர்கிறது. பாதிக்கப்பட்டவர்களின் இயந்திரங்களின் கட்டுப்பாட்டைப் பெற முயற்சிக்கும் தாக்குதல்களின் சீரற்ற அலைகளை வரிசைப்படுத்த இது இனி முயற்சிக்கவில்லை. வேறு வார்த்தைகளில் கூறுவதானால், வெகுஜன ஃபிஷிங் மின்னஞ்சல்கள் இனி விருப்பமான தந்திரோபாயங்கள் அல்ல. அதற்கு பதிலாக, TA505 குழு தாக்குதல்களின் அளவை கணிசமாகக் குறைத்து, மேலும் இலக்கு வைக்கப்பட்ட தாக்குதல்களுக்கு தெளிவாக மாறியுள்ளது.
இருந்து எழுதுவது நல்லது roproofpoint
TA505 இன் இரண்டு தனித்துவமான பிரச்சாரங்களைப் பற்றி ஆராய்ச்சியாளர்கள் விவாதிக்கின்றனர், இது ஃப்ளாட்அம்மியைப் பதிவிறக்க ஆண்ட்ரோமுட்டைப் பயன்படுத்தியது. ஆண்ட்ரோமட் சி ++ இல் எழுதப்பட்டுள்ளது மற்றும் இது ஒரு வகை பதிவிறக்கமாகும்.
வலைப்பதிவு: https://t.co/vIDcrhKQ3z
மாதிரிகள்: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (nInQuest) ஜூலை 3, 2019
பல சந்தேகத்திற்கிடமான மின்னஞ்சல்கள் மற்றும் பிற வகையான மின்னணு தொடர்பு மற்றும் ஊடகங்களின் பகுப்பாய்வின் அடிப்படையில், இணைய பாதுகாப்பு ஆராய்ச்சியாளர்கள் ஆதாரம் ஹேக்கர்களின் குழு வங்கிகள் மற்றும் பிற நிதி சேவை வழங்குநர்களை குறிவைப்பதாகத் தெரிகிறது. புதிய வடிவிலான அதிநவீன தீம்பொருளின் பயன்பாட்டை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். ஆராய்ச்சியாளர்கள் இதை ஆண்ட்ரோமட் என்று அழைக்கிறார்கள் மற்றும் தீம்பொருளுக்கு ஆண்ட்ரோமெடாவுடன் சில ஒற்றுமைகள் இருப்பதைக் கண்டுபிடித்துள்ளனர். முற்றிலும் மாறுபட்ட ஹேக்கர்களால் வடிவமைக்கப்பட்ட மற்றும் பயன்படுத்தப்பட்ட ஆண்ட்ரோமெடா மிகவும் வெற்றிகரமாக செயல்படுத்தப்பட்ட, ஆபத்தான மற்றும் உலகின் மிகப் பெரிய தீம்பொருள் போட்நெட்களில் ஒன்றாகும். 2017 வரை, ஆண்ட்ரோமெடா பரவலாக பரவியது, மேலும் விண்டோஸ் இயக்க முறைமையை இயக்கும் பாதிக்கப்படக்கூடிய பிசிக்களில் வெற்றிகரமாக நிறுவுகிறது.
தீம்பொருள் தாக்குதலை TA505 குழு எவ்வாறு செயல்படுத்துகிறது?
மற்ற TA505 குழுவின் தாக்குதல்களைப் போலவே, புதிய ஆண்ட்ரோமட் தீம்பொருளும் முறையான தோற்றமுடைய மின்னஞ்சல்கள் மூலம் விநியோகிக்கப்படுகிறது. ஃபிஷிங் தாக்குதல்களில் அதிக உத்தியோகபூர்வமானதாகவும் உண்மையானதாகவும் தோன்றும் மின்னஞ்சல்கள் அடங்கும். இத்தகைய மின்னஞ்சல்கள் வழக்கமாக விலைப்பட்டியல் மற்றும் வங்கி மற்றும் நிதி தொடர்பானதாகக் கூறப்படும் பிற ஆவணங்களைக் கொண்டிருப்பதாகக் கூறுகின்றன. ஃபிஷிங்கில் பயன்படுத்தப்படும் மின்னஞ்சல்கள் பெரும்பாலும் சிரமமின்றி உருவாக்கப்படுகின்றன. பல மின்னஞ்சல்களில் பிரபலமான PDF ஆவணம் இருந்தாலும், TA505 குழுவிலிருந்து ஃபிஷிங் மின்னஞ்சல்கள் வேர்ட் ஆவணங்களை நம்பியுள்ளன.
https://twitter.com/rsz619mania/status/1146387091598667777
சந்தேகத்திற்கு இடமின்றி பாதிக்கப்பட்டவர் வேர்ட் ஆவணத்தைத் திறந்தவுடன், குழு தாக்குதலைத் தொடர சமூக பொறியியலை நம்பியுள்ளது. இது சிக்கலானதாகத் தோன்றலாம், ஆனால் உண்மையில், தாக்குதல் வேர்ட் ஆவணத்தில் ‘மேக்ரோஸ்’ என்ற பழங்கால முறையை நம்பியுள்ளது. தகவல்கள் ‘பாதுகாக்கப்பட்டவை’ என்று இலக்குகள் தெரிவிக்கப்படுகின்றன, மேலும் அவை அதன் உள்ளடக்கங்களைக் காண எடிட்டிங் செயல்படுத்த வேண்டும். அவ்வாறு செய்வது மேக்ரோக்களை செயல்படுத்துகிறது மற்றும் ஆண்ட்ரோமட்டை இயந்திரத்திற்கு வழங்க அனுமதிக்கிறது. இந்த தீம்பொருள் பின்னர் புத்திசாலித்தனமாக FlawedAmmyy ஐ பதிவிறக்குகிறது. இரண்டும் நிறுவப்பட்டதும், பாதிக்கப்பட்டவர்களின் இயந்திரங்கள் முழுமையாக சமரசம் செய்யப்படுகின்றன.
ஆண்ட்ரோமட் என்றால் என்ன, மல்டி-ஸ்டேஜ் தீம்பொருள் எவ்வாறு இயங்குகிறது?
TA505 தற்போது இரண்டு கட்ட தாக்குதலில் முதல் கட்டமாக ஆண்ட்ரோமுட்டைப் பயன்படுத்துகிறது. வேறு வார்த்தைகளில் கூறுவதானால், ஆண்ட்ரோமட் ஒரு வெற்றிகரமான நோய்த்தொற்றின் முதல் பகுதி மற்றும் பாதிக்கப்பட்டவர்களின் கணினிகளைக் கட்டுப்படுத்துகிறது. ஊடுருவலில் வெற்றிகரமாக முடிந்ததும், ஆண்ட்ரோமட் நோய்த்தொற்றைப் பயன்படுத்தி விவேகத்துடன் இரண்டாவது பேலோடை சமரசம் செய்யப்பட்ட கணினியில் விடுகிறது. தீங்கிழைக்கும் குறியீட்டின் இரண்டாவது பேலோட் FlawedAmmyy என அழைக்கப்படுகிறது. அடிப்படையில், FlawedAmmyy ஒரு சக்திவாய்ந்த மற்றும் திறமையான தொலைநிலை அணுகல் ட்ரோஜன் அல்லது RAT ஆகும்.
ஆக்கிரமிப்பு இரண்டாம் கட்ட RAT FlawedAmmyy என்பது பாதிக்கப்பட்டவர்களின் கணினிகளுக்கு தொலைநிலை அணுகலை வழங்கும் ஒரு தீம்பொருள் தீம்பொருள் ஆகும். தாக்குபவர்கள் தொலைநிலை நிர்வாக சலுகைகளைப் பெறலாம். உள்ளே நுழைந்ததும், தாக்குதல் செய்பவர்கள் கோப்புகள், நற்சான்றிதழ்கள் மற்றும் பலவற்றிற்கான முழுமையான அணுகலைக் கொண்டுள்ளனர்.
தற்செயலாக, தரவு, தானே, இலக்கு அல்ல. வேறு வார்த்தைகளில் கூறுவதானால், தரவைத் திருடுவது முதன்மை நோக்கம் அல்ல. மையத்தின் ஒரு பகுதியாக, வங்கிகள் மற்றும் பிற நிதி நிறுவனங்களின் உள் வலையமைப்பை அணுகுவதற்கான தகவல்களுக்குப் பிறகு TA505 குழு உள்ளது.
TA505 ஆண்ட்ரோமட் தீம்பொருளை அறிமுகப்படுத்துகிறது https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- சி_138 (@ சி_138) ஜூலை 3, 2019
TA505 குழு பணத்தைப் பின்தொடர்கிறது, வல்லுநர்கள் கூறுங்கள்:
ஹேக்கிங் குழுவின் செயல்பாடுகள் பற்றி பேசுகையில், கிறிஸ் டாசன், அச்சுறுத்தல் உளவுத்துறை முன்னணி ஆதாரம் 'டிராஜன்கள் மற்றும் ransomware உடன் முன்பு பணியாற்றியதை விட அதிக இலக்கு பிரச்சாரங்களில் முதன்மையாக RAT கள் மற்றும் பதிவிறக்குபவர்களை விநியோகிப்பதற்கான A505 இன் நடவடிக்கை அவர்களின் தந்திரோபாயங்களில் ஒரு அடிப்படை மாற்றத்தை பரிந்துரைக்கிறது. அடிப்படையில் குழு நீண்ட கால பணமாக்குதலுக்கான ஆற்றலுடன் உயர் தரமான தொற்றுநோய்களுக்குப் பின் செல்கிறது - அளவுக்கு மேல் தரம். ”
சைபர் கிரைமினல்கள் அடிப்படையில் தங்கள் தாக்குதல்களைச் சரிசெய்கின்றன, மேலும் பாரிய மின்னஞ்சல் பிரச்சாரங்களை மேற்கொள்வதற்குப் பதிலாக தங்கள் இலக்குகளைத் தேர்ந்தெடுத்து பாதிக்கப்பட்டவர்களைக் கவரும் என்று நம்புகிறார்கள். அவை தரவைத் தொடர்ந்து, மேலும் முக்கியமாக, முக்கியமான தகவல்களை, பணத்தை திருட வேண்டும். சமீபத்திய முன்னிலை என்பது சந்தை மற்றும் பணத்தைப் பின்தொடரும் ஹேக்கர்களுக்கு ஒரு எடுத்துக்காட்டு. எனவே மூலோபாயத்தின் மாற்றம் நிரந்தரமாக கருதப்படக்கூடாது, டாசன் கவனித்தார், “இந்த மாற்றத்தின் இறுதி விளைவு அல்லது இறுதி விளையாட்டு தெளிவாக இல்லை. A505 பணத்தைப் பின்தொடர்கிறது, உலகளாவிய போக்குகளுக்கு ஏற்ப, புதிய புவியியல் மற்றும் பேலோடுகளை ஆராய்ந்து அவர்களின் வருவாயை அதிகரிக்கிறது. ”
குறிச்சொற்கள் தீம்பொருள்
