ചൈനീസ് ഭരണകൂടം സ്പോൺസർ ചെയ്യുന്ന ഭീഷണി നടൻ ജപ്പാനിലെ മാധ്യമങ്ങളെയും നയതന്ത്ര, സർക്കാർ, പൊതുമേഖലാ സ്ഥാപനങ്ങളെയും തിങ്ക്-ടാങ്കുകളെയും ലക്ഷ്യമിടുന്നു
ചൈനീസ് ഭരണകൂടം സ്പോൺസർ ചെയ്യുന്ന ഭീഷണി നടനായ സ്റ്റോൺ പാണ്ട, ജാപ്പനീസ് സ്ഥാപനങ്ങളെ ലക്ഷ്യമിട്ടുള്ള ആക്രമണങ്ങളിൽ ഒരു പുതിയ രഹസ്യ അണുബാധ ശൃംഖല ഉപയോഗിക്കുന്നത് നിരീക്ഷിച്ചു.
കാസ്പെർസ്കി പ്രസിദ്ധീകരിച്ച ഇരട്ട റിപ്പോർട്ടുകൾ പ്രകാരം ജപ്പാനിലെ മാധ്യമങ്ങൾ, നയതന്ത്ര, സർക്കാർ, പൊതുമേഖലാ സ്ഥാപനങ്ങൾ, തിങ്ക്-ടാങ്കുകൾ എന്നിവ ടാർഗെറ്റുകളിൽ ഉൾപ്പെടുന്നു.
APT10, ബ്രോൺസ് റിവർസൈഡ്, സിക്കാഡ, പൊട്ടാസ്യം എന്നും വിളിക്കപ്പെടുന്ന സ്റ്റോൺ പാണ്ട, ചൈനയ്ക്ക് തന്ത്രപരമായി പ്രാധാന്യമുള്ളതായി തിരിച്ചറിഞ്ഞ സംഘടനകൾക്കെതിരായ നുഴഞ്ഞുകയറ്റത്തിന് പേരുകേട്ട ഒരു സൈബർ ചാരസംഘമാണ്. ഭീഷണിപ്പെടുത്തുന്ന നടൻ കുറഞ്ഞത് 2009 മുതൽ സജീവമാണെന്ന് വിശ്വസിക്കപ്പെടുന്നു.
2022 മാർച്ചിനും ജൂണിനുമിടയിൽ ഏറ്റവും പുതിയ ആക്രമണങ്ങൾ നിരീക്ഷിക്കപ്പെട്ടു. നിരീക്ഷിച്ച ആക്രമണങ്ങളിൽ ഒരു വ്യാജ മൈക്രോസോഫ്റ്റ് വേഡ് ഫയലും സ്പിയർ-ഫിഷിംഗ് ഇമെയിലുകൾ വഴി പ്രചരിപ്പിച്ച RAR ഫോർമാറ്റിലുള്ള സെൽഫ് എക്സ്ട്രാക്റ്റിംഗ് ആർക്കൈവ് (SFX) ഫയലും ഉൾപ്പെടുന്നു. LODEINFO എന്ന പിൻവാതിൽ.
കിൽചെയിൻ സജീവമാക്കുന്നതിന് മാക്രോകൾ പ്രവർത്തനക്ഷമമാക്കാൻ മാൽഡോക്ക് ഉപയോക്താക്കളോട് ആവശ്യപ്പെടുമ്പോൾ, 2022 ജൂണിലെ കാമ്പെയ്ൻ ഈ രീതി ഒരു SFX ഫയലിന് അനുകൂലമായി ഉപേക്ഷിക്കുന്നതായി കണ്ടെത്തി, അത് എക്സിക്യൂട്ട് ചെയ്യുമ്പോൾ, ക്ഷുദ്രകരമായ പ്രവർത്തനങ്ങൾ മറയ്ക്കാൻ ഒരു നിരുപദ്രവകരമായ വഞ്ചനാപരമായ വേഡ് ഡോക്യുമെന്റ് പ്രദർശിപ്പിക്കുന്നു.
മാക്രോ, ഒരിക്കൽ പ്രവർത്തനക്ഷമമാക്കിയാൽ, രണ്ട് ഫയലുകൾ അടങ്ങുന്ന ഒരു ZIP ആർക്കൈവ് ഡ്രോപ്പ് ചെയ്യുന്നു, അതിലൊന്ന് (“NRTOLF.exe”) K7Security Suite സോഫ്റ്റ്വെയറിൽ നിന്നുള്ള നിയമാനുസൃതമായ എക്സിക്യൂട്ടബിൾ ആണ്, അത് പിന്നീട് DLL വഴി ഒരു റോഗ് DLL (“K7SysMn1.dll”) ലോഡ് ചെയ്യാൻ ഉപയോഗിക്കുന്നു. സൈഡ്-ലോഡിംഗ്.
സുരക്ഷാ ആപ്ലിക്കേഷന്റെ ദുരുപയോഗം മാറ്റിനിർത്തിയാൽ, 2022 ജൂണിൽ മറ്റൊരു പ്രാരംഭ അണുബാധ രീതിയും കണ്ടെത്തിയതായി കാസ്പെർസ്കി പറഞ്ഞു, അതിൽ പാസ്വേഡ് പരിരക്ഷിത മൈക്രോസോഫ്റ്റ് വേഡ് ഫയൽ, മാക്രോകൾ പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ ഡൗണിസ എന്ന് വിളിക്കപ്പെടുന്ന ഫയൽലെസ് ഡൗൺലോഡർ ഡെലിവർ ചെയ്യുന്നതിനുള്ള ഒരു വഴിയായി പ്രവർത്തിച്ചു.
"ഉൾച്ചേർത്ത മാക്രോ DOWNIISSA ഷെൽകോഡ് സൃഷ്ടിക്കുകയും നിലവിലെ പ്രക്രിയയിൽ (WINWORD.exe) അത് കുത്തിവയ്ക്കുകയും ചെയ്യുന്നു," റഷ്യൻ സൈബർ സുരക്ഷാ കമ്പനി പറഞ്ഞു.
ഒരു ഹാർഡ്-കോഡഡ് റിമോട്ട് സെർവറുമായി ആശയവിനിമയം നടത്താൻ DOWNIISSA കോൺഫിഗർ ചെയ്തിരിക്കുന്നു, ഇത് ഉപയോഗിച്ച് LODEINFO-യുടെ എൻക്രിപ്റ്റ് ചെയ്ത BLOB പേലോഡ് വീണ്ടെടുക്കാനും സ്ക്രീൻഷോട്ടുകൾ എടുക്കാനും സെർവറിലേക്ക് ഫയലുകൾ എക്സ്ഫിൽട്രേറ്റ് ചെയ്യാനും കഴിവുള്ള ഒരു ബാക്ക്ഡോർ.
2019-ൽ ആദ്യമായി കണ്ട ക്ഷുദ്രവെയർ നിരവധി മെച്ചപ്പെടുത്തലുകൾക്ക് വിധേയമായി, 2022 മാർച്ച്, ഏപ്രിൽ, ജൂൺ, സെപ്റ്റംബർ മാസങ്ങളിൽ കാസ്പെർസ്കി ആറ് വ്യത്യസ്ത പതിപ്പുകൾ തിരിച്ചറിഞ്ഞു.
റഡാറിന് കീഴിൽ പറക്കാനുള്ള മെച്ചപ്പെടുത്തിയ ഒഴിപ്പിക്കൽ വിദ്യകൾ, "en_US" എന്ന ലോക്കൽ ഉള്ള മെഷീനുകളിൽ എക്സിക്യൂഷൻ നിർത്തുക, പിന്തുണയ്ക്കുന്ന കമാൻഡുകളുടെ ലിസ്റ്റ് പരിഷ്ക്കരിക്കുക, Intel 64-ബിറ്റ് ആർക്കിടെക്ചറിനുള്ള പിന്തുണ വിപുലീകരിക്കൽ എന്നിവ ഈ മാറ്റങ്ങളിൽ ഉൾപ്പെടുന്നു.
"LODEINFO ക്ഷുദ്രവെയർ ഇടയ്ക്കിടെ അപ്ഡേറ്റ് ചെയ്യപ്പെടുന്നു, കൂടാതെ ജാപ്പനീസ് ഓർഗനൈസേഷനുകളെ സജീവമായി ലക്ഷ്യമിടുന്നത് തുടരുന്നു," ഗവേഷകർ നിഗമനം ചെയ്തു.
“LODEINFOയിലെയും അനുബന്ധ ക്ഷുദ്രവെയറുകളിലെയും അപ്ഡേറ്റ് ചെയ്ത TTP-കളും മെച്ചപ്പെടുത്തലുകളും സൂചിപ്പിക്കുന്നത് ആക്രമണകാരി പ്രത്യേക ശ്രദ്ധ കണ്ടെത്തുന്നതിലും വിശകലനം ചെയ്യുന്നതിലും ആണ്.
മലയാളം 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada