சீன ஹேக்கர்கள் தங்கள் தடங்களை மறைத்து, மால்வேரைக் கண்டறிவதற்கு சில நாட்களுக்கு முன்பு அகற்றிவிடுவார்கள்

தீ கண் நிபுணர்கள் கவனத்தை ஈர்த்தது சீன ஹேக்கர்களின் விசித்திரமான நடத்தைக்கு, WHO, அவர்களின் தடங்களை மறைக்கும் முயற்சியில், தீம்பொருளைக் கண்டறிவதற்கு சற்று முன் அகற்றவும்.

ஆராய்ச்சியாளர்களின் கூற்றுப்படி, அமெரிக்க பாதுகாப்பு ஒப்பந்தக்காரர்கள் மற்றும் உலகெங்கிலும் உள்ள அரசாங்க அமைப்புகளின் நெட்வொர்க்குகளை தாக்க இரண்டு ஹேக் குழுக்கள் பல்ஸ் செக்யூர் VPN இல் பூஜ்ஜிய நாள் பாதிப்பைப் பயன்படுத்துகின்றன..

ஃபயர் ஐ படி, ஹேக்குகள் ஆகஸ்ட் மாதத்தில் மீண்டும் தொடங்கின 2020, முதல் ஹேக் குழுவின் போது, என நிறுவனம் கண்காணிக்கிறது UNC2630, அமெரிக்க பாதுகாப்பு ஒப்பந்ததாரர்கள் மற்றும் ஐரோப்பிய அமைப்புகளை குறிவைத்தது. ஆய்வாளர்களின் கூற்றுப்படி, இந்த ஹேக்கர்கள் “சீன அரசாங்கத்தின் சார்பாக செயல்படலாம் மற்றும் APT5 உடன் தொடர்பு இருக்கலாம்,” அது மற்றொரு நன்கு அறியப்பட்ட சீன சைபர் உளவு குழு.

அக்டோபரில் 2020, a second group of hackers joined the attacks (FireEye அதற்கு UNC2717 ஐடியை வழங்கியது), ஆனால் நிபுணர்களுக்கு இது பற்றி நடைமுறையில் எதுவும் தெரியாது.

இரண்டு சந்தர்ப்பங்களிலும், தாக்குபவர்கள் பாதிக்கப்படக்கூடிய சாதனங்களில் வலை ஷெல்களை நிறுவினர், பின்னர் பாதிக்கப்பட்டவர்களிடம் செல்ல அவற்றை பயன்படுத்தினார்’ உள் நெட்வொர்க்குகள், எங்கிருந்து அவர்கள் சான்றுகளை திருடினார்கள், கடிதங்கள் மற்றும் ரகசிய ஆவணங்கள்.

இப்போது ஒரு புதிய அறிக்கை, இந்த தாக்குதல்களின் மேலும் விசாரணை விசித்திரமான ஒன்றைக் கண்டறிய உதவியது என்று FireEye எழுதுகிறது: சம்பவங்களில் ஈடுபட்டுள்ள குழுக்களில் குறைந்தபட்சம் ஒன்று, வெளிப்படுத்தப்படுவதற்கு மூன்று நாட்களுக்கு முன்னர் பாதிக்கப்பட்ட நெட்வொர்க்குகளில் இருந்து தங்கள் தீம்பொருளை அகற்றத் தொடங்கியது..

“ஏப்ரல் இடையே 17 மற்றும் 20, 2021, UNC2630 ஆனது டஜன் கணக்கான சமரசம் செய்யப்பட்ட சாதனங்களுக்கான அணுகலைப் பெற்றது மற்றும் ATRIUM மற்றும் SLIGHTPULSE போன்ற வலை ஷெல்களை அகற்றியதை மாண்டியன்ட் நிபுணர்கள் கவனித்தனர்.”, - ஆய்வாளர்கள் எழுதுகிறார்கள்.

சைபர் கிரைமினல்களின் செயல்கள் சந்தேகத்திற்குரியதாகவும் கேள்விகளை எழுப்புவதாகவும் உள்ளது, உதாரணத்திற்கு, தாக்குபவர்கள் FireEye இலிருந்து ஆர்வத்தைப் பற்றி தெரிந்து கொள்ள முடியும் என்றால். நிச்சயமாக, தீம்பொருளை அகற்றுவது தற்செயலாக நடந்திருக்கலாம், ஆனால் UNC2630 பங்கேற்பாளர்கள் அவர்கள் சமரசம் செய்து கொண்ட சில நெட்வொர்க்குகளை FireEye ஆராய்கிறது என்பதை அறிந்திருந்தால், ஹேக்கர்கள் வேண்டுமென்றே பின்வாங்கி, ஆராய்ச்சியாளர்களிடமிருந்து பிற செயல்பாடுகளைப் பாதுகாப்பதற்கான ஆதாரங்களை அகற்றியதாகத் தெரிகிறது..

இந்த ஹேக்கிங் பிரச்சாரத்தின் புதிய விவரங்களைக் கண்டுபிடித்துள்ளதாக FireEye தெரிவிக்கிறது. அதனால், தீம்பொருளின் நான்கு கூடுதல் விகாரங்களை நிபுணர்கள் கண்டறிந்தனர் (கூடுதலாக 12 முன்பு விவரிக்கப்பட்டது).

• இரத்தச் சுரங்கம் — பல்ஸ் செக்யூர் கனெக்ட் பதிவு கோப்பு பகுப்பாய்வு பயன்பாடு. உள்நுழைவுகள் தொடர்பான தகவல்களை மீட்டெடுக்கிறது, ஐடிகள் மற்றும் இணைய கோரிக்கைகளை இடுகையிட்டு, தொடர்புடைய தரவை மற்றொரு கோப்பிற்கு நகலெடுக்கிறது.
• இரத்த வங்கி — ஒரு திறந்த சோதனையில் கடவுச்சொல் ஹாஷ்கள் அல்லது கடவுச்சொற்களைக் கொண்ட இரண்டு கோப்புகளை பாகுபடுத்தி, கட்டளை வரியில் வெளியீட்டு கோப்பு குறிப்பிடப்பட வேண்டும் என்று எதிர்பார்க்கும் நற்சான்றிதழ் திருடும் பயன்பாடு.
• க்ளீன்பல்ஸ் — இது ஒரு நினைவக இணைப்பு பயன்பாடாகும், இது சில பதிவு நிகழ்வுகள் நிகழாமல் தடுக்க பயன்படுகிறது. இது ATRIUM வெப் ஷெல்லுடன் கண்டுபிடிக்கப்பட்டது.
• ரேபிட்பல்ஸ் — தன்னிச்சையான கோப்புகளைப் படிக்கும் திறன் கொண்ட ஒரு வலை ஷெல். மற்ற வலை ஷெல்களைப் போல, RAPIDPULSE என்பது முறையான பல்ஸ் செக்யூர் கோப்பின் மாற்றமாகும். மறைகுறியாக்கப்பட்ட கோப்புகளுக்கான ஏற்றியாக செயல்பட முடியும்.

கூடுதலாக, சமரசம் செய்யப்பட்ட சாதனங்கள் மற்றும் அவற்றின் உரிமையாளர்களை அடையாளம் காண பல்ஸ் செக்யரின் டெவலப்பர்களுடன் FireEye தொடர்ந்து பணியாற்றுகிறது.. இந்த வேலை, தாக்குபவர்களின் இலக்குகளைப் பற்றி மேலும் அறிய ஆய்வாளர்களை அனுமதித்தது. அதனால், புதிய தரவுகளின்படி, பாதிக்கப்பட்டவர்களில் பெரும்பாலானவர்கள் அமெரிக்காவை தளமாகக் கொண்ட அமைப்புகள் (மற்றவை ஐரோப்பிய நாடுகளில் அமைந்துள்ளன). பாதுகாப்பு ஒப்பந்ததாரர்கள் மற்றும் அரசு நிறுவனங்களை குறிவைத்து தாக்குதல்கள் நடத்தப்பட்டதாக முன்னர் கருதப்பட்டது, தாக்குதல் நடத்தியவர்கள் தொலைத்தொடர்புகளையும் குறிவைத்து தாக்குதல் நடத்தியது இப்போது தெளிவாகியுள்ளது, நிதி மற்றும் போக்குவரத்து நிறுவனங்கள்.

முன்னதாக FireEye ஆய்வாளர்கள் UNC2630 மட்டுமே சீன அரசாங்கத்துடன் தொடர்பு கொள்ள முடியும் என்று எழுதினர்., இப்போது அவர்கள் இரு குழுக்களும் இணைய உளவு வேலையில் ஈடுபட்டுள்ளனர் என்று நம்புகிறார்கள் “சீன அரசாங்கத்தின் முக்கிய முன்னுரிமைகளை ஆதரிக்கவும்.”

நானும் அதை எழுதினேன் என்பதை உங்களுக்கு நினைவூட்டுகிறேன் XCSSET தீம்பொருள் macOS இல் 0-நாள் தாக்குதல்களைப் பயன்படுத்துகிறது.