ഈ ബ്ലോഗ്‌പോസ്റ്റിൽ, ലോകമെമ്പാടുമുള്ള ഇരകൾക്ക് Scarab ransomware-ന്റെ വകഭേദങ്ങൾ വിന്യസിക്കാൻ ഉപയോഗിക്കുന്ന ഒരു ചെറിയ ടൂൾസെറ്റായ Spacecolon-ലേക്ക് ESET ഗവേഷകർ നോക്കുന്നു. ദുർബലമായ വെബ് സെർവറുകളിൽ നിന്ന് വിട്ടുവീഴ്ച ചെയ്യുന്നതിലൂടെയോ അല്ലെങ്കിൽ ആർ‌ഡി‌പി ക്രെഡൻഷ്യലുകൾ നിർബന്ധിതമാക്കുന്നതിലൂടെയോ അതിന്റെ ഓപ്പറേറ്റർമാർ ഇരയായ ഓർ‌ഗനൈസേഷനുകളിലേക്ക് ഇത് കടന്നുകയറുന്നു.

നിരവധി സ്പേസ് കോളൺ ബിൽഡുകളിൽ ധാരാളം ടർക്കിഷ് സ്ട്രിംഗുകൾ അടങ്ങിയിരിക്കുന്നു; അതിനാൽ ഞങ്ങൾ ഒരു ടർക്കിഷ് സംസാരിക്കുന്ന ഡെവലപ്പറെ സംശയിക്കുന്നു. 2020 മെയ് മാസത്തിൽ സമാഹരിച്ച ഏറ്റവും പുതിയ ബിൽഡ് ഉപയോഗിച്ച് സ്‌പെയ്‌സ് കോളണിന്റെ ഉത്ഭവം കുറഞ്ഞത് 2023 മെയ് വരെ ട്രാക്ക് ചെയ്യാനും പുതിയ കാമ്പെയ്‌നുകൾ കാണുന്നത് തുടരാനും ഞങ്ങൾക്ക് കഴിഞ്ഞു. നിലവിൽ അറിയപ്പെടുന്ന ഏതെങ്കിലും ഭീഷണി നടൻ ഗ്രൂപ്പിന് അതിന്റെ ഉപയോഗം ആട്രിബ്യൂട്ട് ചെയ്യുന്നു. അതിനാൽ, "സ്‌പേസ്", "സ്‌കാറാബ്" എന്നിവയിലേക്കുള്ള ലിങ്കിനെ പ്രതിനിധീകരിക്കാൻ ഞങ്ങൾ Spacecolon-ന്റെ ഓപ്പറേറ്റർമാരെ CosmicBeetle എന്ന് വിളിക്കും.

സ്‌പെയ്‌സ് കോളനിൽ മൂന്ന് ഡെൽഫി ഘടകങ്ങൾ അടങ്ങിയിരിക്കുന്നു - ആന്തരികമായി ഹാക്ക്‌ടൂൾ, ഇൻസ്റ്റാളർ, സേവനം എന്നിങ്ങനെ അറിയപ്പെടുന്നു, ഈ ബ്ലോഗ്‌പോസ്റ്റിൽ ഇത് ScHackTool, ScInstaller, ScService എന്നിങ്ങനെ പരാമർശിക്കപ്പെടും. ScHackTool ആണ് പ്രധാന ഓർക്കസ്ട്രേറ്റർ ഘടകം, മറ്റ് രണ്ടെണ്ണം വിന്യസിക്കാൻ CosmicBeetle-നെ ഇത് അനുവദിക്കുന്നു. ScInstaller ഒരൊറ്റ ഉദ്ദേശ്യത്തോടെയുള്ള ഒരു ചെറിയ ഘടകമാണ്: ScService ഇൻസ്റ്റാൾ ചെയ്യാൻ. ഇഷ്‌ടാനുസൃത കമാൻഡുകൾ എക്‌സിക്യൂട്ട് ചെയ്യാനും പേലോഡുകൾ ഡൗൺലോഡ് ചെയ്യാനും എക്‌സിക്യൂട്ട് ചെയ്യാനും കോംപ്രമൈസ് ചെയ്ത മെഷീനുകളിൽ നിന്ന് സിസ്റ്റം വിവരങ്ങൾ വീണ്ടെടുക്കാനും CosmicBeetle-നെ അനുവദിക്കുന്ന ScService ഒരു ബാക്ക്‌ഡോറായി പ്രവർത്തിക്കുന്നു.

ഈ മൂന്ന് ഘടകങ്ങൾ കൂടാതെ, Spacecolon-ന്റെ ഓപ്പറേറ്റർമാർ ആവശ്യാനുസരണം ലഭ്യമാക്കുന്ന നിയമാനുസൃതവും ക്ഷുദ്രകരവുമായ വിവിധതരം മൂന്നാം കക്ഷി ടൂളുകളെ വളരെയധികം ആശ്രയിക്കുന്നു.

പ്രസിദ്ധീകരണത്തിനായി ഈ റിപ്പോർട്ട് തയ്യാറാക്കുമ്പോൾ, തുർക്കിയിൽ നിന്ന് VirusTotal-ലേക്ക് സാമ്പിളുകൾ അപ്‌ലോഡ് ചെയ്യുന്ന ഒരു പുതിയ ransomware കുടുംബം വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്നത് ഞങ്ങൾ നിരീക്ഷിച്ചു. സ്‌പേസ് കോളണിന്റെ അതേ ഡെവലപ്പറാണ് ഇത് എഴുതിയതെന്ന് ഞങ്ങൾ ഉയർന്ന ആത്മവിശ്വാസത്തോടെ വിശ്വസിക്കുന്നു; അതിനാൽ ഞങ്ങൾ അതിനെ ScRansom എന്ന് വിളിക്കും. ഞങ്ങളുടെ ആട്രിബ്യൂഷൻ കോഡിലെ സമാന ടർക്കിഷ് സ്ട്രിംഗുകൾ, IPWorks ലൈബ്രറിയുടെ ഉപയോഗം, മൊത്തത്തിലുള്ള GUI സമാനത എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. ഹാർഡ്‌കോഡ് ചെയ്‌ത സ്‌ട്രിംഗിൽ നിന്ന് സൃഷ്‌ടിച്ച ഒരു കീ ഉപയോഗിച്ച് എഇഎസ്-128 അൽഗോരിതം ഉപയോഗിച്ച് എല്ലാ ഹാർഡ്, നീക്കം ചെയ്യാവുന്നതും റിമോട്ട് ഡ്രൈവുകളും എൻക്രിപ്റ്റ് ചെയ്യാൻ ScRansom ശ്രമിക്കുന്നു. എഴുതുന്ന സമയത്ത് ScRansom കാട്ടിൽ വിന്യസിക്കുന്നത് ഞങ്ങൾ നിരീക്ഷിച്ചിട്ടില്ല, അത് ഇപ്പോഴും വികസന ഘട്ടത്തിലാണെന്ന് ഞങ്ങൾ വിശ്വസിക്കുന്നു. VirusTotal-ലേക്ക് അപ്‌ലോഡ് ചെയ്‌ത ഏറ്റവും പുതിയ വേരിയന്റ് ഒരു MSI ഇൻസ്റ്റാളറിനുള്ളിൽ ബണ്ടിൽ ചെയ്‌തിരിക്കുന്നു, ഒപ്പം ഷാഡോ പകർപ്പുകൾ ഇല്ലാതാക്കാനുള്ള ഒരു ചെറിയ യൂട്ടിലിറ്റിയും.

ഈ ബ്ലോഗ്‌പോസ്റ്റിന്റെ പ്രധാന പോയിന്റുകൾ:

• CosmicBeetle ഓപ്പറേറ്റർമാർ ഒരുപക്ഷേ ZeroLogon അപകടസാധ്യതയ്ക്ക് ഇരയാകാവുന്ന വെബ് സെർവറുകളെയോ അല്ലെങ്കിൽ ആർ‌ഡി‌പി ക്രെഡൻഷ്യലുകൾക്ക് ക്രൂരമായി ബലപ്രയോഗം നടത്താൻ കഴിവുള്ളവയെയോ വിട്ടുവീഴ്ച ചെയ്തേക്കാം.
• സ്‌പേസ്‌കോളൺ ആവശ്യാനുസരണം വിവിധ തരത്തിലുള്ള മൂന്നാം കക്ഷി, റെഡ് ടീം ടൂളുകൾ നൽകുന്നു.
• CosmicBeetle-ന് വ്യക്തമായ ലക്ഷ്യമില്ല; അതിന്റെ ഇരകൾ ലോകമെമ്പാടും ഉണ്ട്.
• Spacecolon-ന് ഒരു RAT ആയി പ്രവർത്തിക്കാനും കൂടാതെ/അല്ലെങ്കിൽ ransomware വിന്യസിക്കാനും കഴിയും; അത് സ്കരാബ് വിതരണം ചെയ്യുന്നത് ഞങ്ങൾ കണ്ടു.
• ഞങ്ങൾ ScRansom എന്ന് പേരിട്ടിരിക്കുന്ന പുതിയ ransomware-ന്റെ വിതരണം Spacecolon ഓപ്പറേറ്റർമാരോ ഡെവലപ്പർമാരോ തയ്യാറാക്കുന്നതായി തോന്നുന്നു.

ചുരുക്കവിവരണത്തിനുള്ള

സ്‌പേസ്‌കോളൺ എന്ന പേര് നൽകിയത് സോഫാന ട്രസീസിയ സ്ട്രോണ അനലിസ്റ്റുകളാണ്, അവരാണ് ആദ്യത്തേത് (ഞങ്ങളുടെ അറിവിൽ മറ്റൊന്ന്) പ്രസിദ്ധീകരണം (പോളീഷ് ഭാഷയിൽ) ടൂൾസെറ്റിനെക്കുറിച്ച്. ആ പ്രസിദ്ധീകരണത്തിന്റെ മുകളിൽ കെട്ടിപ്പടുക്കുന്നത്, ESET ഭീഷണിയെക്കുറിച്ച് ആഴത്തിലുള്ള ഉൾക്കാഴ്ച നൽകുന്നു. ആശയക്കുഴപ്പം ഒഴിവാക്കാൻ, ഞങ്ങൾ ടൂൾസെറ്റിനെ Spacecolon എന്നും അതിന്റെ ഓപ്പറേറ്റർമാരെ CosmicBeetle എന്നും വിളിക്കും.

ആക്രമണത്തിന്റെ സാഹചര്യം ഇപ്രകാരമാണ്:

1.    CosmicBeetle ഒരു ദുർബലമായ വെബ് സെർവറിനെ വിട്ടുവീഴ്ച ചെയ്യുന്നു അല്ലെങ്കിൽ അതിന്റെ RDP ക്രെഡൻഷ്യലുകൾ ബ്രൂട്ട് ഫോഴ്‌സ് ചെയ്യുന്നു.

2.    CosmicBeetle ScHackTool വിന്യസിക്കുന്നു.

3.    ScHackTool ഉപയോഗിച്ച്, സുരക്ഷാ ഉൽപ്പന്നങ്ങൾ പ്രവർത്തനരഹിതമാക്കുന്നതിനും തന്ത്രപ്രധാനമായ വിവരങ്ങൾ എക്‌സ്‌ട്രാക്‌റ്റുചെയ്യുന്നതിനും കൂടുതൽ ആക്‌സസ് നേടുന്നതിനും ആവശ്യാനുസരണം ലഭ്യമായ ഏതെങ്കിലും അധിക മൂന്നാം കക്ഷി ടൂളുകൾ CosmicBeetle ഉപയോഗിക്കുന്നു.

4.    ലക്ഷ്യം വിലപ്പെട്ടതായി കണക്കാക്കുകയാണെങ്കിൽ, CosmicBeetle ScInstaller വിന്യസിക്കാനും ScService ഇൻസ്റ്റാൾ ചെയ്യാൻ ഉപയോഗിക്കാനും കഴിയും.

5.    ScService CosmicBeetle-ന് കൂടുതൽ റിമോട്ട് ആക്‌സസ് നൽകുന്നു.

6.    അവസാനമായി, ScService വഴിയോ സ്വമേധയാ Scarab ransomware വിന്യസിക്കാൻ CosmicBeetle തിരഞ്ഞെടുത്തേക്കാം.

പല കേസുകളിലും, ScService വിന്യസിക്കുന്നത് ഞങ്ങൾ ശ്രദ്ധിച്ചു ഇംപാക്കറ്റ് ScInstaller എന്നതിലുപരി, ScHackTool ഉപയോഗിച്ചല്ല. പ്രാരംഭ ഘടകമായി ScHackTool ഉപയോഗിക്കുന്നത് Spacecolon-ന്റെ ഓപ്പറേറ്റർമാർ ഉപയോഗിക്കുന്ന ഒരേയൊരു സമീപനമല്ലെന്ന് ഞങ്ങൾ നിഗമനം ചെയ്യുന്നു.

ഇതിന്റെ ഒരു വകഭേദമാണ് കോസ്മിക് ബീറ്റിൽ വിന്യസിക്കുന്ന അവസാന പേലോഡ് Scarab ransomware. ഈ വകഭേദം ആന്തരികമായി ഒരു ക്ലിപ്പ്ബാങ്കർ വിന്യസിക്കുന്നു, ക്ലിപ്പ്ബോർഡിലെ ഉള്ളടക്കം നിരീക്ഷിക്കുകയും ആക്രമണകാരി നിയന്ത്രിത വാലറ്റ് വിലാസമായി ക്രിപ്‌റ്റോകറൻസി വാലറ്റ് വിലാസമായി കരുതുന്ന ഉള്ളടക്കം മാറ്റുകയും ചെയ്യുന്ന ഒരു തരം ക്ഷുദ്രവെയർ.

പ്രാരംഭ പ്രവേശനം

ആർ‌ഡി‌പി ബ്രൂട്ട് ഫോഴ്‌സിംഗ് വഴി ചില ടാർഗെറ്റുകൾ വിട്ടുവീഴ്ച ചെയ്യപ്പെടുമെന്ന് ESET ടെലിമെട്രി സൂചിപ്പിക്കുന്നു - അനുബന്ധം A-യിൽ ലിസ്റ്റുചെയ്‌തിരിക്കുന്ന അധിക ടൂളുകൾ ഇതിനെ പിന്തുണയ്‌ക്കുന്നു - ആക്രമണകാരി ഉപയോഗിക്കുന്ന മൂന്നാം കക്ഷി ടൂളുകൾ, Spacecolon ഓപ്പറേറ്റർമാർക്ക് ലഭ്യമാണ്. കൂടാതെ, അടുത്ത വിഭാഗത്തിൽ വിവരിച്ചിരിക്കുന്ന ഒരു ഇഷ്‌ടാനുസൃത .NET ടൂളിനെ അടിസ്ഥാനമാക്കി, CVE-2020-1472 (ZeroLogon) അപകടസാധ്യത CosmicBeetle ദുരുപയോഗം ചെയ്യുന്നുവെന്ന് ഞങ്ങൾ ഉയർന്ന ആത്മവിശ്വാസത്തോടെ വിലയിരുത്തുന്നു.

കുറഞ്ഞ ആത്മവിശ്വാസത്തോടെ, പ്രാരംഭ ആക്‌സസിനായി CosmicBeetle FortiOS-ലെ ഒരു അപകടസാധ്യത ദുരുപയോഗം ചെയ്യുന്നതായി ഞങ്ങൾ വിലയിരുത്തുന്നു. ഇരകളിൽ ബഹുഭൂരിപക്ഷവും അവരുടെ പരിതസ്ഥിതിയിൽ FortiOS പ്രവർത്തിക്കുന്ന ഉപകരണങ്ങളും ScInstaller, ScService ഘടകങ്ങളും അവരുടെ കോഡിലെ "ഫോർട്ടി" എന്ന സ്ട്രിംഗ് പരാമർശിക്കുന്നതിനെ അടിസ്ഥാനമാക്കിയാണ് ഞങ്ങൾ അങ്ങനെ വിശ്വസിക്കുന്നത്. CISA പറയുന്നതനുസരിച്ച്, 2022-ൽ പതിവായി ചൂഷണം ചെയ്യപ്പെടുന്ന പ്രധാന കേടുപാടുകളിൽ ഒന്നാണ് മൂന്ന് ഫോർട്ടിയോസ് കേടുപാടുകൾ. നിർഭാഗ്യവശാൽ, ഈ പുരാവസ്തുക്കൾ കൂടാതെ അത്തരം അപകടസാധ്യതയുള്ള ചൂഷണത്തെക്കുറിച്ച് ഞങ്ങൾക്ക് കൂടുതൽ വിശദാംശങ്ങളൊന്നുമില്ല.

നിങ്ങളുടെ പിന്നിൽ വാതിൽ അടയ്ക്കുന്നു

പല അവസരങ്ങളിലും, ESET ടെലിമെട്രി സ്‌പേസ് കോളൺ ഓപ്പറേറ്റർമാർ ഒരു ഇഷ്‌ടാനുസൃത .NET പേലോഡ് നിർവ്വഹിക്കുന്നതായി കാണിച്ചിട്ടുണ്ട്, അതിനെ ഞങ്ങൾ ഇവിടെ ScPatcher എന്ന് വിളിക്കും. ക്ഷുദ്രകരമായ ഒന്നും ചെയ്യാതിരിക്കാൻ രൂപകൽപ്പന ചെയ്തിട്ടുള്ളതാണ് ScPatcher. നേരെമറിച്ച്: ഇത് തിരഞ്ഞെടുത്ത വിൻഡോസ് അപ്ഡേറ്റുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നു. ഇൻസ്റ്റാൾ ചെയ്ത അപ്‌ഡേറ്റുകളുടെ പട്ടിക പട്ടിക 1-ലും ScPatcher-ന്റെ അനുബന്ധ കോഡ് ഭാഗം ചിത്രം 1-ലും ചിത്രീകരിച്ചിരിക്കുന്നു.

പട്ടിക 1. ScPatcher ഇൻസ്റ്റാൾ ചെയ്ത വിൻഡോസ് അപ്ഡേറ്റുകളുടെ ലിസ്റ്റ്

ഡ്രോപ്പ് ചെയ്യാനും എക്സിക്യൂട്ട് ചെയ്യാനും രൂപകൽപ്പന ചെയ്ത രണ്ട് ഫംഗ്ഷനുകളും ScPatcher-ൽ അടങ്ങിയിരിക്കുന്നു:

·      update.bat, വിൻഡോസ് ഓട്ടോമാറ്റിക് അപ്‌ഡേറ്റ് ക്രമീകരണങ്ങൾ മാറ്റുന്നതിനുള്ള ഒരു ചെറിയ BAT സ്ക്രിപ്റ്റ്, കൂടാതെ

·      up.vbs, ഏതാണ്ട് സമാനമായ ഒരു പകർപ്പ് ഔദ്യോഗിക MSDN ഉദാഹരണം വിൻഡോസ് അപ്‌ഡേറ്റുകൾ ഡൗൺലോഡ് ചെയ്‌ത് ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനുള്ള സ്‌ക്രിപ്റ്റ്, ഉപയോക്തൃ ഇൻപുട്ട് സ്വീകരിക്കാത്തതിന്റെ ചെറിയ മാറ്റത്തോടെ, പകരം അപ്‌ഡേറ്റുകൾ സ്വയമേവ നിശ്ശബ്ദമായി തുടരാൻ അനുവദിക്കുന്നു.

ഈ രണ്ട് ഫംഗ്ഷനുകളും കോഡിൽ എവിടെയും പരാമർശിച്ചിട്ടില്ലെങ്കിലും, ESET ടെലിമെട്രി കാണിക്കുന്നത് സ്പേസ് കോളൺ ഓപ്പറേറ്റർമാർ രണ്ട് സ്ക്രിപ്റ്റുകളും ഇംപാക്കറ്റിലൂടെ നേരിട്ട് നടപ്പിലാക്കുന്നു എന്നാണ്. പ്രവർത്തനങ്ങൾ ചിത്രം 2, ചിത്രം 3 എന്നിവയിൽ ചിത്രീകരിച്ചിരിക്കുന്നു.

വിക്റ്റിമോളജി

CosmicBeetle പ്രയോഗിച്ച പ്രാരംഭ ആക്‌സസ് രീതികൾക്ക് അവർ ഇരയാകുന്നത് കൂടാതെ Spacecolon ഇരകളിൽ ഒരു പാറ്റേണും ഞങ്ങൾ നിരീക്ഷിച്ചിട്ടില്ല. ESET ടെലിമെട്രി തിരിച്ചറിഞ്ഞ Spacecolon സംഭവങ്ങൾ ചിത്രം 4 വ്യക്തമാക്കുന്നു.

ടാർഗെറ്റുകളുടെ ഫോക്കസ് ഏരിയയിലോ വലുപ്പത്തിലോ ഒരു പാറ്റേണും ഞങ്ങൾ കണ്ടെത്തിയില്ല. കുറച്ച് പേരിടാൻ, തായ്‌ലൻഡിലെ ഒരു ആശുപത്രിയിലും ഒരു ടൂറിസ്റ്റ് റിസോർട്ടിലും, ഇസ്രായേലിലെ ഒരു ഇൻഷുറൻസ് കമ്പനി, പോളണ്ടിലെ ഒരു പ്രാദേശിക സർക്കാർ സ്ഥാപനം, ബ്രസീലിലെ ഒരു വിനോദ ദാതാവ്, തുർക്കിയിലെ ഒരു പരിസ്ഥിതി കമ്പനി, മെക്സിക്കോയിലെ ഒരു സ്കൂൾ എന്നിവിടങ്ങളിൽ ഞങ്ങൾ Spacecolon നിരീക്ഷിച്ചിട്ടുണ്ട്.

സാങ്കേതിക വിശകലനം

ഞങ്ങൾ ആദ്യം ransomware വേരിയന്റായ Spacecolon വിന്യസിക്കുന്നതിനെ കുറിച്ച് ഒരു ഹ്രസ്വ വീക്ഷണം നടത്തുകയും തുടർന്ന് Spacecolon ഘടകങ്ങളുടെ തന്നെ വിശകലനം നടത്തുകയും ചെയ്യുന്നു.

Scarab ransomware

സ്കറാബ് ഡെൽഫി എഴുതിയ ransomware ആണ്. ഇതിനൊപ്പം ശ്രദ്ധേയമായ കോഡ് ഓവർലാപ്പുകൾ അടങ്ങിയിരിക്കുന്നു ബുറാൻ ഒപ്പം വെഗാലോക്കർ കുടുംബങ്ങൾ. ഇത് ഒരു ഉൾച്ചേർത്ത കോൺഫിഗറേഷനെ ആശ്രയിച്ചിരിക്കുന്നു, അതിന്റെ ഫോർമാറ്റ് ഏതാണ്ട് സമാനമാണ് സെപ്പെലിൻ ransomware. എൻക്രിപ്റ്റ് ചെയ്ത ഫയലുകൾക്കുള്ള ഫയൽ എക്സ്റ്റൻഷൻ, ഫയൽനാമങ്ങൾ, എൻക്രിപ്റ്റ് ചെയ്യേണ്ട ഫയലുകളുടെ ഫയൽ എക്സ്റ്റൻഷനുകളുടെ ലിസ്റ്റ്, മോചനദ്രവ്യ സന്ദേശം എന്നിവ ആ കോൺഫിഗറേഷൻ നിർണ്ണയിക്കുന്നു.

ഭൂരിഭാഗം സ്‌കാറാബ് ബിൽഡുകളും ഡ്രോപ്പ് ചെയ്യുകയും എക്‌സിക്യൂട്ട് ചെയ്യുകയും ചെയ്‌ത ഒരു എംബഡഡ് ഡെൽഫി എഴുതിയ ക്ലിപ്പ്ബാങ്കർ ക്ലിപ്പ്ബോർഡ് ഉള്ളടക്കം നിരീക്ഷിക്കുകയും ക്രിപ്‌റ്റോകറൻസി വാലറ്റിനോട് സാമ്യമുള്ള ഏതെങ്കിലും സ്‌ട്രിംഗിനെ ആക്രമണകാരി നിയന്ത്രിത ഒന്ന് ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുകയും ചെയ്യുന്നു, പ്രത്യേകിച്ചും ഇനിപ്പറയുന്നവയിൽ ഒന്ന്:

·      1HtkNb73kvUTz4KcHzztasbZVonWTYRfVx

·      qprva3agrhx87rmmp5wtn805jp7lmncycu3gttmuxe

·      0x7116dd46e5a6c661c47a6c68acd5391a4c6ba525

·      XxDSKuWSBsWFxdJcge8xokrtzz8joCkUHF

·4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQnt2yEaJRD7Km8Pnph

·      t1RKhXcyj8Uiku95SpzZmMCfTiKo4iHHmnD

സ്‌പേസ്‌കോളണിനെ ചുരുങ്ങിയത് രണ്ട് സ്‌കാറാബ് ബിൽഡുകളെങ്കിലും ഉപയോഗിച്ച് ബന്ധിപ്പിക്കാൻ ഞങ്ങൾക്ക് കഴിഞ്ഞു .ഫ്ലൈക്രിപ്റ്റ് ഒപ്പം .റെസ്റ്റോറിസർവർ എൻക്രിപ്റ്റ് ചെയ്ത ഫയലുകൾക്കായുള്ള എക്സ്റ്റൻഷനുകൾ - Spacecolon കുറച്ച് മുമ്പ് അപഹരിച്ച മെഷീനുകളിൽ ഈ ബിൽഡുകൾ നടപ്പിലാക്കാൻ CosmicBeetle ശ്രമിച്ചു. രണ്ട് ബിൽഡുകളും ഒരേ ഫയൽ നാമകരണ പാറ്റേണുകൾ പിന്തുടരുന്നു - ransomware പ്രവർത്തിക്കുന്നു %APPDATA%osk.exe ഒപ്പം ഉൾച്ചേർത്ത ClipBanker-ഉം %APPDATA%winupas.exe. സ്‌പേസ് കോളണിന് ഈ പേരിടലിന് പ്രത്യേക പ്രാധാന്യമുണ്ട്, കാരണം രണ്ട് പേരുള്ള പ്രോസസ്സുകൾ പ്രവർത്തിക്കുമെന്ന് ScHackTool പ്രതീക്ഷിക്കുന്നു. ഈ പേരിടൽ പാറ്റേൺ സ്‌പേസ് കോളണുമായി അടുത്ത് ബന്ധപ്പെട്ടിരിക്കുന്നുവെന്ന് കരുതുക, ESET ടെലിമെട്രി കാണിക്കുന്ന 50% സ്‌കാറാബ് കോൺഫിഗറേഷനുകളും സ്‌പേസ് കോളണുമായി ബന്ധപ്പെട്ടിരിക്കാം. നിർണായകമായി ലിങ്ക് ചെയ്‌തിരിക്കുന്ന രണ്ട് സാമ്പിളുകൾക്കായുള്ള മോചനദ്രവ്യ സന്ദേശങ്ങൾ ചിത്രീകരിച്ചിരിക്കുന്നു ചിത്രം 5 ഒപ്പം ചിത്രം 6.

ScHackTool

ScHackTool അതിന്റെ ഓപ്പറേറ്റർമാർ ഉപയോഗിക്കുന്ന പ്രധാന Spacecolon ഘടകമാണ്. ഇത് അതിന്റെ ജിയുഐയെയും അതിന്റെ ഓപ്പറേറ്റർമാരുടെ സജീവ പങ്കാളിത്തത്തെയും വളരെയധികം ആശ്രയിക്കുന്നു; ആക്രമണം ക്രമീകരിക്കാനും, ആവശ്യാനുസരണം കോംപ്രമൈസ് ചെയ്ത മെഷീനിലേക്ക് അധിക ഉപകരണങ്ങൾ ഡൗൺലോഡ് ചെയ്യാനും നടപ്പിലാക്കാനും ഇത് അവരെ അനുവദിക്കുന്നു.

ഇവിടെ നിന്ന്, ഡെൽഫി പ്രോഗ്രാമിംഗ് ഭാഷ നിർവചിച്ചിരിക്കുന്ന അതേ രീതിയിൽ ഞങ്ങൾ ഒന്നിലധികം GUI ഘടകങ്ങളെ പരാമർശിക്കും - ലേബലുകൾ, ടെക്സ്റ്റ് ബോക്സുകൾ, ഗ്രൂപ്പ് ബോക്സുകൾ, തുടങ്ങിയവ.

ScHackTool ഒരു നല്ല ആന്റി എമുലേഷൻ ട്രിക്ക് ഉപയോഗിക്കുന്നു. എക്സിക്യൂട്ട് ചെയ്യുമ്പോൾ, ഒരു വ്യാജ പിശക് സന്ദേശം പോപ്പ് അപ്പ് (കാണുക ചിത്രം 7). "OK" ബട്ടൺ ക്ലിക്ക് ചെയ്താൽ, ScHackTool അവസാനിക്കും. പ്രധാന വിൻഡോ യഥാർത്ഥത്തിൽ പ്രദർശിപ്പിക്കുന്നതിന്, "റീഇൻസ്റ്റാൾ ചെയ്യുന്നു" (ചുവപ്പ് നിറത്തിൽ ഹൈലൈറ്റ് ചെയ്തിരിക്കുന്നു) എന്ന വാക്കിലെ "g"-ൽ ഡബിൾ ക്ലിക്ക് ചെയ്യണം.

പ്രധാന വിൻഡോ പ്രദർശിപ്പിക്കുന്നതിന് മുമ്പ്, ScHackTool ഒരു ടെക്സ്റ്റ് ഫയൽ നേടുന്നു, list.txt, അതിന്റെ C&C സെർവറിൽ നിന്ന്. ലഭ്യമായ അധിക ടൂളുകൾ, അവയുമായി ബന്ധപ്പെട്ട പേരുകൾ, അവ ഡൗൺലോഡ് ചെയ്യേണ്ട URL-കൾ എന്നിവ ഈ ഫയൽ നിർവ്വചിക്കുന്നു. അത്തരമൊരു ഫയലിന്റെ ഒരു ഉദാഹരണം കാണിച്ചിരിക്കുന്നു ചിത്രം 8. ScHackTool ഉൾപ്പെടെ എല്ലാ Spacecolon ഘടകങ്ങളും ഉപയോഗിക്കുന്നു IPWorks നെറ്റ്‌വർക്ക് ആശയവിനിമയത്തിനുള്ള ലൈബ്രറി.

ഈ ഫയൽ പാഴ്‌സ് ചെയ്യുന്ന പ്രക്രിയ വിശദീകരിക്കുന്നതിന് മുമ്പ്, നമുക്ക് ScHackTool-ന്റെ GUI ഹ്രസ്വമായി പരിചയപ്പെടുത്താം. ഇതിൽ മൂന്ന് പ്രധാന ടാബുകൾ അടങ്ങിയിരിക്കുന്നു (ഇറക്കുമതി, ഉപകരണങ്ങൾ, ഒപ്പം MIMI ഡംപ്) കൂടാതെ ഒരു താഴെയുള്ള പാനൽ അവർ മൂന്നുപേർക്കും പങ്കിട്ടു. മുതൽ ഇറക്കുമതി പാഴ്‌സിംഗ് പ്രക്രിയയുടെ ഫലമാണ് ടാബ് പോപ്പുലേറ്റ് ചെയ്തിരിക്കുന്നത്, പാഴ്‌സിംഗ് ലോജിക്കിനൊപ്പം ആദ്യം ഇത് അവതരിപ്പിക്കാം.

ഇറക്കുമതി ടാബ്

അധിക ടൂളുകൾ ഡൗൺലോഡ് ചെയ്യാനും എക്‌സിക്യൂട്ട് ചെയ്യാനുമുള്ള കഴിവ് ഓപ്പറേറ്റർമാർക്ക് നൽകുന്ന ബട്ടണുകളാൽ ഈ ടാബ് നിറഞ്ഞിരിക്കുന്നു. ഈ ഉപകരണങ്ങളെല്ലാം പാസ്‌വേഡ് പരിരക്ഷിത ZIP ആർക്കൈവുകളായി ലഭ്യമാണ് (പാസ്‌വേഡ്: ab1q2w3e!). അവയെല്ലാം ഡൗൺലോഡ് ചെയ്തിരിക്കുന്നു ./zip/ ഒപ്പം എക്‌സ്‌ട്രാക്‌റ്റുചെയ്‌തു ./ /. ഡൗൺലോഡ് ചെയ്ത ആർക്കൈവുകൾ ScHackTool നീക്കം ചെയ്യുന്നില്ല.

എന്തൊക്കെ അധിക ടൂളുകൾ ലഭ്യമാണ് എന്നത് മുകളിൽ പറഞ്ഞവ നിർവചിച്ചിരിക്കുന്നു list.txt ഫയൽ. ഈ ഫയലിന്റെ പാഴ്‌സിംഗ് വളരെ ലളിതമാണ്. വരി വരിയായി വായിക്കുന്നു. ഒരു വരി ഇതുപോലെ തോന്നുന്നുവെങ്കിൽ CAT| (ഒരുപക്ഷേ "വിഭാഗം" എന്നതിന്റെ ചുരുക്കം), പിന്നെ പുതിയത് ഗ്രൂപ്പ്ബോക്സ് പേരുനൽകിയത് സൃഷ്‌ടിക്കുകയും ഇനിപ്പറയുന്ന എല്ലാ എൻട്രികളും ഇതുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. അതുപോലെ, ഒരു വരി ഇങ്ങനെയാണെങ്കിൽ SUB| ("ഉപവിഭാഗം" എന്നതിന്റെ ചുരുക്കം), തുടർന്ന് ഒരു പുതിയ തിരശ്ചീനം ലേബൽ പേരുനൽകിയത് നിലവിലെ വിഭാഗത്തിലേക്ക് ചേർത്തിരിക്കുന്നു.

മറ്റെല്ലാ വരികളും യഥാർത്ഥ എൻട്രികളായി കണക്കാക്കുന്നു. ലൈൻ പിളർന്നിരിക്കുന്നു # രണ്ടോ മൂന്നോ ഇനങ്ങളായി:

1.      ഉപകരണത്തിന്റെ പേര്,

2.      ഉപകരണം വീണ്ടെടുക്കാൻ ഉപയോഗിക്കുന്ന URL, കൂടാതെ

3.      ഒരു ഐച്ഛിക പ്രത്യയം.

ഓരോ എൻട്രിയിലും, ടൂൾ നാമം എന്ന പേരിൽ ഒരു ബട്ടൺ സൃഷ്‌ടിക്കപ്പെട്ടിരിക്കുന്നു. കൂടാതെ, ഓപ്ഷണൽ സഫിക്സ് ആണെങ്കിൽ a ഫോൾഡർ, എന്ന പേരിൽ ഒരു അധിക ബട്ടൺ AC സൃഷ്ടിക്കപ്പെടുന്നു; ഈ ബട്ടൺ വിൻഡോസ് എക്‌സ്‌പ്ലോറർ ടൂൾ എക്‌സ്‌ട്രാക്‌റ്റ് ചെയ്‌ത സ്ഥലത്ത് തുറക്കുന്നു.

എങ്കില് list.txt ഫയൽ ലഭ്യമല്ല, ക്ഷുദ്രവെയർ ഉപേക്ഷിക്കുന്നു. കൂടാതെ, Spacecolon ഓപ്പറേറ്റർമാർ നിർവചിച്ചിരിക്കുന്ന ഒരു ടൂൾ അഭ്യർത്ഥിക്കുകയാണെങ്കിൽ list.txt, എന്നാൽ അനുബന്ധ URL-ൽ ലഭ്യമല്ല, ScHackTool പ്രോസസ്സ് തടസ്സപ്പെടുകയും പ്രതികരിക്കുന്നത് നിർത്തുകയും ചെയ്യുന്നു.

നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ ചിത്രം 9, ഓരോ ടൂളിനും ഒന്നോ രണ്ടോ ബട്ടണുകൾ സൃഷ്ടിക്കപ്പെടുന്നു. ടൂളുകൾ, പ്രിവി, RAAG, ഒപ്പം മറ്റുള്ളവ (ചുവപ്പ് നിറത്തിൽ ഹൈലൈറ്റ് ചെയ്തിരിക്കുന്നത്) വിഭാഗങ്ങളെ പ്രതിനിധീകരിക്കുന്നു, ഒപ്പം സ്നിഫർ ഒപ്പം ചൂഷണം ചെയ്യുക (നീലയിൽ ഹൈലൈറ്റ് ചെയ്തിരിക്കുന്നത്) ഉപവിഭാഗങ്ങളാണ്. ലഭ്യമായ എല്ലാ അധിക ഉപകരണങ്ങളുടെയും ഒരു ലിസ്റ്റ് അവയുടെ വിവരണങ്ങൾക്കൊപ്പം ലിസ്റ്റുചെയ്തിരിക്കുന്നു അനുബന്ധം എ - ആക്രമണകാരി ഉപയോഗിക്കുന്ന മൂന്നാം കക്ഷി ഉപകരണങ്ങൾ.

ടൂൾസ് ടാബ്

ഇതാണ് പ്രധാന ടാബ് എന്ന് ചിന്തിക്കാൻ ഒരാൾക്ക് താൽപ്പര്യമുണ്ടാകാം, പക്ഷേ വാസ്തവത്തിൽ അത് അങ്ങനെയല്ല. അതിശയകരമെന്നു പറയട്ടെ, മിക്ക ബട്ടണുകളും ഒന്നും ചെയ്യുന്നില്ല (അവയുമായി ബന്ധപ്പെട്ടത് ഓൺക്ലിക്ക് പ്രവർത്തനങ്ങൾ ശൂന്യമാണ്). ചരിത്രപരമായി, ഈ ബട്ടണുകൾ പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഞങ്ങൾക്കറിയാം, എന്നാൽ കാലക്രമേണ, അവയുടെ പ്രവർത്തനം നീക്കം ചെയ്യപ്പെട്ടു. ഞങ്ങൾ പിന്നീട് ബ്ലോഗ്‌പോസ്റ്റിൽ പ്രവർത്തിക്കാത്ത ബട്ടണുകളുടെ ഒരു അവലോകനം നൽകുന്നു. ചിത്രം 10 GUI എന്നിവ ചിത്രീകരിക്കുന്നു മേശ 2 പ്രവർത്തിക്കുന്ന ബട്ടണുകളുടെ പ്രവർത്തനക്ഷമത സംഗ്രഹിക്കുന്നു.

മേശ 2. ഫംഗ്‌ഷണൽ ബട്ടണുകളുടെ ലിസ്റ്റ് ഉപകരണങ്ങൾ ടാബ്

വിന്യസിച്ചിരിക്കുന്ന Scarab ransomware, അതുമായി ബന്ധപ്പെട്ട ClipBanker എന്നിവയ്ക്ക് പേരിട്ടിട്ടുണ്ടെന്ന് ഞങ്ങൾ നേരത്തെ പ്രസ്താവിച്ചു osk.exe ഒപ്പം winupas.exe. എന്നതിൽ നിന്ന് വ്യക്തമാണ് മേശ 2, ആ പ്രക്രിയകൾ അവസാനിപ്പിക്കാൻ രണ്ട് അനുബന്ധ ബട്ടണുകൾ ഉപയോഗിക്കാം.

ScHackTool സമാരംഭിക്കുമ്പോൾ പിങ്ക് നിറത്തിൽ ഹൈലൈറ്റ് ചെയ്‌ത പ്രദേശം പൂരിപ്പിക്കുന്നു. എന്നിരുന്നാലും, യഥാർത്ഥ മെഷീൻ വിവരങ്ങളൊന്നും വീണ്ടെടുക്കുന്നില്ല; സ്‌പേസ് കോളൺ ഓപ്പറേറ്റർമാർ ഇത് സ്വമേധയാ പൂരിപ്പിക്കേണ്ടതുണ്ട്.

MIMI ഡംപ് ടാബ്

ഈ ടാബിലെ പ്രവർത്തനം ഇതിന്റെ ഭാഗമായിരുന്നു ഉപകരണങ്ങൾ ടാബ്, പക്ഷേ ഒടുവിൽ ഒരു പ്രത്യേക ടാബിലേക്ക് നീക്കി. വീണ്ടും, ചില ബട്ടണുകൾ പ്രവർത്തിക്കുന്നില്ല. UI ചിത്രീകരിച്ചിരിക്കുന്നു ചിത്രം 11, ഒപ്പം മേശ 3 പ്രവർത്തിക്കുന്ന ബട്ടണുകളുടെ പ്രവർത്തനക്ഷമത സംഗ്രഹിക്കുന്നു.

മേശ 3. ഫംഗ്‌ഷണൽ ബട്ടണുകളുടെ ലിസ്റ്റ് MIMI ഡംപ് ടാബ്

ഈ ടാബിന്റെ പേര് അത് കുപ്രസിദ്ധമായ പാസ്‌വേഡുമായും ക്രെഡൻഷ്യൽ-എക്‌സ്‌ട്രാക്റ്റിംഗ് ടൂൾ മിമികാറ്റ്‌സുമായും ബന്ധപ്പെട്ടിരിക്കുന്നുവെന്ന് സൂചിപ്പിക്കും, പക്ഷേ വാസ്തവത്തിൽ അത് അങ്ങനെയല്ല. ഫയൽ സമയത്ത് അത് Spacecolon C&C ലേക്ക് തിരികെ അയക്കുന്നു എ നിർദ്ദേശിക്കാനാണ് പേരിട്ടിരിക്കുന്നത് lsass.exe ഡംപ്, ഫയൽ ഓപ്പറേറ്റർമാർ സ്വമേധയാ സൃഷ്‌ടിക്കേണ്ടതാണ്, അത് ഏതെങ്കിലും അനിയന്ത്രിതമായ ഫയലാകാം. അതുപോലെ, ഡൗൺലോഡ് ചെയ്ത ഉപയോക്തൃനാമങ്ങളും പാസ്‌വേഡുകളും ഓപ്പറേറ്റർമാർ പകർത്തിയല്ലാതെ ഒരു തരത്തിലും ഉപയോഗിക്കില്ല.

എന്നിരുന്നാലും, മിമികാറ്റ്സ് is Spacecolon നൽകുന്ന അധിക ഉപകരണങ്ങളുടെ ഒരു ഭാഗം (കാണുക അനുബന്ധം എ - ആക്രമണകാരി ഉപയോഗിക്കുന്ന മൂന്നാം കക്ഷി ഉപകരണങ്ങൾ).

ചുവടെയുള്ള പാനൽ

മൂന്ന് ടാബുകൾക്കിടയിലും പങ്കിട്ട ചുവടെയുള്ള പാനൽ, ഒരു സിസ്റ്റം റീസ്റ്റാർട്ട് ഷെഡ്യൂൾ ചെയ്യാനും സിസ്റ്റത്തിൽ നിന്ന് Spacecolon നീക്കം ചെയ്യാനും ആക്‌സസ് ചെയ്യാനും CosmicBeetle-നെ അനുവദിക്കുന്നു. പോർട്ടബിൾ അപ്ലിക്കേഷനുകൾ, അധിക ഉപകരണങ്ങളിൽ ഒന്ന്. ദി ഇറക്കുമതി ഒപ്പം പിൻ പുരോഗതി ബാറുകൾ യഥാക്രമം ഡൗൺലോഡ്, ടൂൾ ആർക്കൈവ് എക്‌സ്‌ട്രാക്ഷൻ പുരോഗതി എന്നിവയുമായി പൊരുത്തപ്പെടുന്നു. ബട്ടണുകളുടെ പ്രവർത്തനത്തിന്റെ ഒരു അവലോകനം നൽകിയിരിക്കുന്നു മേശ 4.

മേശ 4. മൂന്ന് ടാബുകൾക്കിടയിൽ പങ്കിട്ട താഴത്തെ പാനലിലെ ബട്ടണുകളുടെ പട്ടികയും അവയുടെ പ്രവർത്തനങ്ങളും

സ്ട്രിംഗ് എൻക്രിപ്ഷൻ

ScHackTool ഒരു ലളിതമായ അൽഗോരിതം ഉപയോഗിച്ച് സ്ട്രിംഗുകൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നു - പൈത്തണിൽ നടപ്പിലാക്കിയ ഡീക്രിപ്ഷൻ ദിനചര്യ ഞങ്ങൾ നൽകുന്നു ചിത്രം 13. എല്ലാ സ്ട്രിംഗുകളും എൻക്രിപ്റ്റ് ചെയ്തിട്ടില്ല, എന്നിരുന്നാലും പുതിയ ബിൽഡുകൾക്കൊപ്പം, സംരക്ഷിത സ്ട്രിംഗുകളുടെ എണ്ണം വർദ്ധിക്കുന്നു.

def decrypt_string(s: str, key: str) -> str: dec = "" for b in bytearray.fromhex(s): dec += chr(b ^ (key >> 8)) key = (0xD201 * (b + key) + 0x7F6A) & 0xFFFF return dec

ചിത്രം 13. SCHackTool സ്ട്രിംഗുകൾക്കുള്ള സ്ട്രിംഗ് ഡീക്രിപ്ഷൻ ദിനചര്യ

 

ScHackTool ബട്ടണുകൾ - പഴയ ഒരു യാത്ര

ScHackTool തീർച്ചയായും ഏറ്റവും കൂടുതൽ മാറ്റങ്ങൾക്ക് വിധേയമായ ഘടകമാണ്. 2020 മുതലുള്ളതാണ് ഞങ്ങൾക്ക് കണ്ടെത്താനായ ഏറ്റവും പഴയ ബിൽഡ്, ഉപയോഗങ്ങൾ TicsDropbox അതിന്റെ C&C സെർവറുമായുള്ള ആശയവിനിമയത്തിന്. ആ സമയത്ത്, വ്യാജ പിശക് സന്ദേശത്തിന് പകരം, ഒരു പാസ്‌വേഡ് പരിരക്ഷണ സംവിധാനം (കാണുക ചിത്രം 14) സ്ഥലത്തുണ്ടായിരുന്നു (പാസ്‌വേഡ്: dd1q2w3e).

വിചിത്രമായി, ഓരോ പുതിയ പതിപ്പിലും, ചില ബട്ടണുകൾ പ്രവർത്തിക്കുന്നത് നിർത്തി (അവരുടെ കോഡ് പൂർണ്ണമായും നീക്കം ചെയ്തു). ഈ പഴയ ബിൽഡുകളിലേക്ക് എത്തിനോക്കാൻ കഴിയുന്നതിലൂടെ, ഇതിൽ ലിസ്റ്റുചെയ്തിരിക്കുന്ന പ്രവർത്തനരഹിതമായ ബട്ടണുകളുടെ പ്രവർത്തനക്ഷമത നമുക്ക് പഠിക്കാനാകും മേശ 5.

മേശ 5. പഴയ ബിൽഡുകളുടെ വിശകലനത്തെ അടിസ്ഥാനമാക്കിയുള്ള ബട്ടൺ പ്രവർത്തനങ്ങളുടെ ഒരു ലിസ്റ്റ്

ScInstaller

ScInstaller ഒരൊറ്റ ടാസ്‌ക് ചെയ്യാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന വളരെ ചെറിയ ഡെൽഫി ടൂളാണ്: ScService ഇൻസ്റ്റാൾ ചെയ്യുക. ScService ScInstaller-ൽ സംഭരിച്ചിരിക്കുന്നു .rsrc വിഭാഗം, പാസ്‌വേഡിൽ നിന്ന് ഉരുത്തിരിഞ്ഞ ഒരു കീ ഉപയോഗിച്ച് AES അൽഗോരിതം ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു TFormDropbox.btnUploadClick.

ആക്രമണകാരി ഉപയോഗിക്കാനിടയുള്ളതോ ഉപയോഗിക്കാത്തതോ ആയ അധിക ഉപകരണങ്ങളുടെ ഭാഗമാണ് ScInstaller, പ്രത്യേകിച്ച് പേരിട്ടിരിക്കുന്ന ഒന്ന് ഏജന്റ് (കാണുക അനുബന്ധം എ - ആക്രമണകാരി ഉപയോഗിക്കുന്ന മൂന്നാം കക്ഷി ഉപകരണങ്ങൾ). 2021 മുതൽ വരുന്ന ഏറ്റവും പുതിയ നിരീക്ഷിച്ച ബിൽഡ് ഉണ്ടായിരുന്നിട്ടും, എഴുതുന്ന സമയത്ത് ആ ബിൽഡ് ഇപ്പോഴും ടൂൾസെറ്റിന്റെ ഭാഗമാണ്. എന്നിരുന്നാലും, ഇംപാക്കറ്റിലൂടെ ScService സ്വമേധയാ ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഞങ്ങൾ നിരീക്ഷിച്ചു, കൂടാതെ ScService-ന്റെ പുതിയ ബിൽഡുകൾ ഞങ്ങൾ നിരീക്ഷിച്ചപ്പോൾ, ScInstaller-ന്റെ പുതിയ ബിൽഡുകളൊന്നും ഞങ്ങൾ കണ്ടിട്ടില്ല. ScInstaller സജീവമായി ഉപയോഗിക്കില്ലെന്ന് ഇത് നിർദ്ദേശിച്ചേക്കാം.

ScInstaller-ന്റെ മുൻകാല വകഭേദങ്ങൾ ലളിതമായി ഇൻസ്റ്റാൾ ചെയ്യുകയും നടപ്പിലാക്കുമ്പോൾ ScService പ്രവർത്തിപ്പിക്കുകയും ചെയ്തു. ഏറ്റവും പുതിയ വേരിയന്റുകൾ ഒരു GUI-യുമായി വരുന്നു (കാണുക ചിത്രം 15). എങ്കിൽ മാത്രമേ ScService ഇൻസ്റ്റാൾ ചെയ്യപ്പെടുകയുള്ളൂ ഇൻസ്റ്റോൾ ബട്ടൺ ക്ലിക്ക് ചെയ്തു.

ചില അധിക ഫീച്ചറുകളുമായാണ് അവ വരുന്നത്. ദി പരിശോധിക്കുക ചുവടെയുള്ള ബട്ടൺ ScService ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടോയെന്ന് പരിശോധിച്ച് സേവന നില വീണ്ടെടുക്കുന്നു. ദി പരിശോധിക്കുക നാല് ഹാർഡ്‌കോഡ് ചെയ്ത C&C സെർവറുകളിലേക്കുള്ള കണക്റ്റിവിറ്റി പരിശോധിക്കാൻ മുകളിൽ ഇടതുവശത്തുള്ള ബട്ടൺ ഉപയോഗിക്കുന്നു (യഥാർത്ഥ ഡാറ്റ കൈമാറ്റം ചെയ്യപ്പെടുന്നില്ല). പേരിട്ടിരിക്കുന്ന PFX ഫയലിൽ ScInstaller സ്വന്തം TLS സർട്ടിഫിക്കറ്റും ഇടുന്നു cert.pfx or cdn.pfx പാസ്‌വേഡ് മുഖേന പരിരക്ഷിക്കുകയും ചെയ്യുന്നു dd1q2w3e. C&C സെർവറിലേക്ക്(കളിലേക്ക്) ബന്ധിപ്പിക്കുമ്പോൾ ഈ സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കുന്നു.

ടെക്സ്റ്റ് ബോക്സുകൾ ലേബൽ ചെയ്തു ഫോർട്ടി ഐ.പി ഒപ്പം അല്ല രണ്ട് എൻട്രികളുള്ള ഒരു ചെറിയ INI ഫയൽ സൃഷ്ടിക്കാൻ ഉപയോഗിക്കുന്നു - ഡാറ്റ ഒപ്പം കുറിപ്പ്, ആ രണ്ട് മൂല്യങ്ങൾ യഥാക്രമം പൂരിപ്പിക്കുന്നു. ഇരയെക്കുറിച്ചുള്ള ഇഷ്‌ടാനുസൃത കുറിപ്പുകൾ സംഭരിക്കുന്നതിന് ഈ INI ഫയൽ CosmicBeetle ഉപയോഗിക്കുന്നു. അടുത്ത വിഭാഗത്തിൽ വിവരിച്ചിരിക്കുന്ന സി & സി ആശയവിനിമയത്തിൽ ഇത് ഒരു ചെറിയ പങ്ക് വഹിക്കുന്നു.

എസ്‌സി സർവീസ്

2023 മാർച്ചിൽ, ഒരുപക്ഷേ Zaufana Trzecia സ്ട്രോണയുടെ ഫലമായി 2023 ഫെബ്രുവരി ആദ്യം പ്രസിദ്ധീകരിച്ച വിശകലനത്തിൽ, ScService ഒരു ശ്രദ്ധേയമായ വികസന മാറ്റത്തിന് വിധേയമായി. നമുക്ക് ആദ്യം അതിന്റെ മുൻ പതിപ്പ് നോക്കാം, തുടർന്ന് 2023-ലെ മാറ്റങ്ങളെക്കുറിച്ച് ചർച്ച ചെയ്യാം.

ScService, പേര് സൂചിപ്പിക്കുന്നത് പോലെ, ഒരു വിൻഡോസ് സേവനമായി പ്രവർത്തിപ്പിക്കുന്ന ഒരു ഘടകമാണ്, കൂടാതെ ഒരു ലളിതമായ ബാക്ക്ഡോറായി പ്രവർത്തിക്കുന്നു. സേവന പാരാമീറ്ററുകൾ കാണിച്ചിരിക്കുന്നു മേശ 6. സേവന വിവരണം ഔദ്യോഗിക നിയമാനുസൃത വിൻഡോസിൽ നിന്ന് എടുത്തതാണ് സെൻസർ മോണിറ്ററിംഗ് സേവനം.

മേശ 6. ScService പാരാമീറ്ററുകൾ

ScInstaller പോലെ, ScService ഒരു ഇഷ്‌ടാനുസൃത TLS സർട്ടിഫിക്കറ്റും നൽകുന്നു, ScInstaller ഉപയോഗിക്കുന്നതിന് സമാനമാണ്. INI ഫയൽ (ScInstaller സൃഷ്ടിച്ചത്) ഇല്ലെങ്കിൽ, ശൂന്യമായ മൂല്യങ്ങളുള്ള ഒന്ന് സൃഷ്ടിക്കപ്പെടും.

സമാരംഭിച്ചുകഴിഞ്ഞാൽ, ScService മൂന്ന് ടൈമറുകൾ സൃഷ്ടിക്കുന്നു, ഓരോന്നും:

1.      അയയ്ക്കുന്നു a സൂക്ഷിക്കുക ഓരോ 10 സെക്കൻഡിലും C&C സെർവറിലേക്ക് സന്ദേശം അയയ്ക്കുക,

2.      ഓരോ അഞ്ച് മണിക്കൂറിലും ഡിഎൻഎസ് കാഷെ എക്സിക്യൂട്ട് ചെയ്യുന്നതിലൂടെ ഫ്ലഷ് ചെയ്യുന്നു ipconfig / flushdns, ഒപ്പം

3.      ഓരോ അഞ്ച് മിനിറ്റിലും C&C സെർവറിലേക്ക് കണക്ട് ചെയ്യുന്നു.

ചിത്രം 16 C&C സെർവറിലേക്ക് ഒരു കണക്ഷൻ സ്ഥാപിക്കുമ്പോൾ ഇഷ്‌ടാനുസൃത സർട്ടിഫിക്കറ്റിന്റെ ഉപയോഗം കാണിക്കുന്നു. ScService ഒന്നിലധികം C&C സെർവറുകൾ ഉപയോഗിക്കുന്നു, എല്ലാം ബൈനറിയിൽ ഹാർഡ്കോഡ് ചെയ്തതും എൻക്രിപ്റ്റ് ചെയ്തതുമാണ്.

ഒരു TLS കണക്ഷൻ സ്ഥാപിക്കുന്നതിനു പുറമേ, പോർട്ട് 443-ലെ TCP വഴി ScService C&C സെർവറുമായി ആശയവിനിമയം നടത്തുന്നു. പ്രോട്ടോക്കോൾ വളരെ ലളിതമാണ്; അധിക എൻക്രിപ്ഷൻ ഉപയോഗിച്ചിട്ടില്ല. ScService ഡാറ്റ സ്വീകരിച്ചുകഴിഞ്ഞാൽ, അത് അറിയപ്പെടുന്ന കമാൻഡ് നാമങ്ങൾക്കായി ഡാറ്റ സ്കാൻ ചെയ്യുകയും അത്തരം ഏതെങ്കിലും കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുകയും ഓപ്ഷണലായി ഒരു പ്രതികരണം തിരികെ അയയ്ക്കുകയും ചെയ്യുന്നു. കാണിച്ചിരിക്കുന്ന ആറ് കമാൻഡുകൾ ScService തിരിച്ചറിയുന്നു മേശ 7. കമാൻഡ് നാമവും അതിന്റെ പാരാമീറ്ററുകളും വേർതിരിച്ചിരിക്കുന്നു #. ചുരുക്കത്തിൽ, ScService-ന് അനിയന്ത്രിതമായ കമാൻഡുകളും എക്സിക്യൂട്ടബിളുകളും എക്സിക്യൂട്ട് ചെയ്യാനും ഒരു SSH ടണൽ തുറക്കാനും അടയ്ക്കാനും, മെഷീൻ വിവരങ്ങൾ നേടാനും, INI ഫയൽ അപ്ഡേറ്റ് ചെയ്യാനും കഴിയും.

മേശ 7. TCP/IP കമാൻഡുകളുടെ കഴിവ്

2023 മാർച്ചിൽ പുനർരൂപകൽപ്പന

ഞങ്ങൾ ഇതിനകം സൂചിപ്പിച്ചതുപോലെ, 2023 മാർച്ചിൽ ScService ഒരു ശ്രദ്ധേയമായ മാറ്റത്തിന് വിധേയമായി. ഒന്നാമതായി, സമാനമായ പാറ്റേൺ നിലനിർത്തിക്കൊണ്ട് സേവന പാരാമീറ്ററുകൾ ചെറുതായി മാറി (കാണുക മേശ 8).

മേശ 8. അപ്ഡേറ്റ് ചെയ്ത ScService പാരാമീറ്ററുകൾ

അപഹരിക്കപ്പെട്ട മെഷീൻ വിവരങ്ങൾ ലഭിക്കുന്ന രീതി മാറ്റി. ScService ഒരൊറ്റ അഭ്യർത്ഥന അംഗീകരിച്ചുകൊണ്ട് പോർട്ട് 8347-ൽ ഒരു പ്രാദേശിക HTTP സെർവർ പ്രവർത്തിപ്പിക്കുന്നു - /പദവി. ScService പിന്നീട് സെർവറിലേക്ക് ഈ അഭ്യർത്ഥന നൽകുന്നു. ഈ അഭ്യർത്ഥന കൈകാര്യം ചെയ്യുന്നത് ലളിതമാണ്: ഇത് മെഷീൻ വിവരങ്ങൾ വീണ്ടെടുക്കുകയും HTTP പ്രതികരണത്തിന്റെ ഉള്ളടക്കമായി തിരികെ നൽകുകയും ചെയ്യുന്നു. ഒരു INI ഫയലിൽ സംഭരിക്കാൻ കഴിയുന്ന തരത്തിലാണ് ഡാറ്റ ഫോർമാറ്റ് ചെയ്തിരിക്കുന്നത് - അതാണ് കൃത്യമായി സംഭവിക്കുന്നത്: ScService അതിന്റെ INI ഫയലിലേക്ക് ഉള്ളടക്കം സംഭരിക്കുന്നു. ശേഖരിച്ച വിവരങ്ങൾ ഇവയാണ്:

·      OS = ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന്റെ പേര്

·      CN = കമ്പ്യൂട്ടറിന്റെ പേര്

·      DO = ഉപയോക്തൃ ഡൊമെയ്ൻ

·      എൽഐപി = പ്രാദേശിക ഐപി വിലാസങ്ങൾ

പല (എല്ലാം അല്ല) സ്ട്രിംഗുകൾ ഇപ്പോൾ എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു The കൂടെ AES-CBC അൽഗോരിതം a താക്കോൽ നിന്ന് ഉരുത്തിരിഞ്ഞത് The പാസ്വേഡ് 6e4867bb3b5fb30a9f23c696fd1ebb5b.

C&C പ്രോട്ടോക്കോൾ മാറ്റി. രസകരമെന്നു പറയട്ടെ, ദി യഥാർത്ഥ C&C കമ്മ്യൂണിക്കേഷൻ പ്രോട്ടോക്കോൾ തുടർന്നും നടപ്പിലാക്കുന്നു, എന്നാൽ ഇത് നിർദ്ദേശിച്ചാൽ മാത്രമേ ഉപയോഗിക്കൂ ബന്ധിപ്പിക്കൂ ഒരു ലക്ഷ്യവുമായി ആശയവിനിമയം നടത്താൻ കമാൻഡ് (ചുവടെ കാണുക). പുതിയ പ്രധാന C&C പ്രോട്ടോക്കോൾ TCP-ന് പകരം HTTP ഉപയോഗിക്കുന്നു. ഇനിപ്പറയുന്ന HTTP തലക്കെട്ടുകൾ ഉപയോഗിക്കുന്നു:

·      ഉപയോക്തൃ ഏജൻറ് = മോസില്ല / 5.0 (വിൻഡോസ് എൻ‌ടി 6.1; WOW64; rv: 41.0) ഗെക്കോ / 20100101 ഫയർ‌ഫോക്സ് / 41.0

·      യൂണിറ്റ് = MAC വിലാസത്തിന്റെ ഹെക്‌സ്‌ലിഫൈഡ് MD5 ഹാഷ് കൂടാതെ C: ഡ്രൈവ് സീരിയൽ നമ്പർ

കൂടാതെ, ഒരു സമ്മേളനം മുമ്പ് ശേഖരിച്ച മെഷീൻ വിവരങ്ങളുടെ മൂല്യത്തോടൊപ്പം കുക്കി ചേർക്കുന്നു OS, CN, DO, ഒപ്പം എൽഐപി, ചേർന്നു # അടിസ്ഥാന64 പ്രകാരം എൻകോഡ് ചെയ്യുകയും ചെയ്തു.

കമാൻഡുകൾ JSON ഫോർമാറ്റിലാണ് (കാണുക ചിത്രം ചുവടെയുള്ള 17).

{ “Status”: “TASK”, “CMD”: “<COMMAND_NAME>”, “Params”: “<COMMAND_PARAMS_STR>”, “TaskID”: “<TASK_ID>”
}

ചിത്രം 17. JSON ഫോർമാറ്റ് ചെയ്ത കമാൻഡിന്റെ ഉദാഹരണം

ദി പദവി ഫീൽഡ് എപ്പോഴും തുല്യമാണ് TASKഅതേസമയം സിഎംഡി ഒപ്പം പാരാമുകൾ ഫീൽഡുകൾ കമാൻഡിന്റെ പേരും പരാമീറ്ററുകളും നിർവചിക്കുന്നു. ഒടുവിൽ, ദി ടാസ്ക് ഐഡി ടാസ്‌ക് ഫലം, എന്തെങ്കിലും ഉണ്ടെങ്കിൽ, C&C സെർവറിലേക്ക് അയയ്ക്കാൻ മൂല്യം ഉപയോഗിക്കുന്നു. പിന്തുണയ്ക്കുന്ന കമാൻഡുകൾ പട്ടികപ്പെടുത്തിയിരിക്കുന്നു മേശ 9.

മേശ 9. ScService-ന്റെ കഴിവ് HTTP(S) കമാൻഡ് ചെയ്യുന്നു

തീരുമാനം

ഈ ബ്ലോഗ്‌പോസ്റ്റിൽ, Scarab ransomware ദുർബലമായ സെർവറുകളിലേക്കും അതിന്റെ ഓപ്പറേറ്റർമാരിലേക്കും ഞങ്ങൾ CosmicBeetle എന്ന് വിളിക്കുന്ന ഒരു ചെറിയ ഡെൽഫി ടൂൾസെറ്റായ Spacecolon, ഞങ്ങൾ വിശകലനം ചെയ്തിട്ടുണ്ട്. കൂടാതെ, സ്‌പേസ് കോളണിന് അതിന്റെ ഓപ്പറേറ്റർമാർക്ക് ബാക്ക്‌ഡോർ ആക്‌സസ് നൽകാൻ കഴിയും.

CosmicBeetle അതിന്റെ ക്ഷുദ്രവെയർ മറയ്ക്കാൻ വളരെയധികം പരിശ്രമിക്കുന്നില്ല, കൂടാതെ വിട്ടുവീഴ്ച ചെയ്യപ്പെട്ട സിസ്റ്റങ്ങളിൽ ധാരാളം പുരാവസ്തുക്കൾ അവശേഷിപ്പിക്കുന്നു. ആന്റി അനാലിസിസ് അല്ലെങ്കിൽ ആന്റി എമുലേഷൻ ടെക്നിക്കുകൾ ഒന്നും തന്നെ നടപ്പിലാക്കിയിട്ടില്ല. ScHackTool അതിന്റെ GUI-യെ വളരെയധികം ആശ്രയിക്കുന്നു, എന്നാൽ, അതേ സമയം, നിരവധി പ്രവർത്തനരഹിതമായ ബട്ടണുകൾ അടങ്ങിയിരിക്കുന്നു. CosmicBeetle ഓപ്പറേറ്റർമാർ പ്രധാനമായും ScHackTool ഉപയോഗിക്കുന്നത് വിട്ടുവീഴ്ച ചെയ്ത മെഷീനുകളിലേക്ക് തിരഞ്ഞെടുക്കാനുള്ള അധിക ടൂളുകൾ ഡൗൺലോഡ് ചെയ്യുന്നതിനും അവർക്ക് അനുയോജ്യമെന്ന് തോന്നുന്ന രീതിയിൽ പ്രവർത്തിപ്പിക്കുന്നതിനും ആണ്.

കുറഞ്ഞത് 2020 മുതൽ സ്‌പേസ് കോളൺ സജീവമായ ഉപയോഗത്തിലാണ്, അത് വികസിച്ചുകൊണ്ടിരിക്കുന്നു. 2023-ൽ, Zaufana Trzecia സ്ട്രോണയ്ക്ക് ശേഷം, കണ്ടെത്തലിൽ നിന്ന് രക്ഷപ്പെടാൻ രചയിതാക്കൾ ഗണ്യമായ ശ്രമം നടത്തിയെന്ന് ഞങ്ങൾ വിശ്വസിക്കുന്നു. പ്രസിദ്ധീകരണം പുറത്തുവന്നു.

CosmicBeetle അതിന്റെ ലക്ഷ്യങ്ങൾ തിരഞ്ഞെടുക്കുന്നില്ല; പകരം, നിർണായകമായ സുരക്ഷാ അപ്‌ഡേറ്റുകൾ നഷ്‌ടമായ സെർവറുകൾ കണ്ടെത്തുകയും അത് പ്രയോജനപ്പെടുത്തുകയും ചെയ്യുന്നു.

പ്രസിദ്ധീകരിക്കുന്ന സമയത്ത്, ഞങ്ങൾ ഒരു പുതിയ ransomware കുടുംബത്തെ നിരീക്ഷിച്ചു, അതിന് ഞങ്ങൾ ScRansom എന്ന് പേരിട്ടു, അത് Spacecolon ഘടകങ്ങളുടെ ഡെവലപ്പർ എഴുതിയതാകാം. ഈ എഴുത്ത് വരെ ScRansom കാട്ടിൽ വിന്യസിക്കുന്നത് ഞങ്ങൾ കണ്ടിട്ടില്ല.

WeLiveSecurity-യിൽ പ്രസിദ്ധീകരിച്ച ഞങ്ങളുടെ ഗവേഷണത്തെക്കുറിച്ചുള്ള എന്തെങ്കിലും അന്വേഷണങ്ങൾക്ക്, ദയവായി ഞങ്ങളെ ബന്ധപ്പെടുക threatintel@eset.com.
ESET റിസർച്ച് സ്വകാര്യ APT ഇന്റലിജൻസ് റിപ്പോർട്ടുകളും ഡാറ്റ ഫീഡുകളും വാഗ്ദാനം ചെയ്യുന്നു. ഈ സേവനത്തെക്കുറിച്ചുള്ള എന്തെങ്കിലും അന്വേഷണങ്ങൾക്ക്, സന്ദർശിക്കുക ESET ഭീഷണി ഇന്റലിജൻസ് പേജ്.

ഐഒസികൾ

ഫയലുകൾ

നെറ്റ്വർക്ക്

Spacecolon സാധാരണയായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള പാതകൾ

·      %USERPROFILE%സംഗീതം

·      %ALLUSERSPROFILE%

CosmicBeetle സജ്ജീകരിച്ച ഇഷ്‌ടാനുസൃത അക്കൗണ്ടുകളുടെ പേരുകൾ

·      പിന്തുണ

·      ഐ.ഐ.എസ്

·      IWAM_USR

·      BK$

സ്‌കാറാബ് റാൻസംവെയർ സൃഷ്‌ടിച്ച മ്യൂടെക്‌സുകൾ

·      {46E4D4E6-8B81-84CA-93DA-BB29377B2AC0}

·      {7F57FB1B-3D23-F225-D2E8-FD6FCF7731DC}

MITER ATT&CK വിദ്യകൾ

അനുബന്ധം എ - ആക്രമണകാരി ഉപയോഗിക്കുന്ന മൂന്നാം കക്ഷി ഉപകരണങ്ങൾ

താഴെപ്പറയുന്ന പട്ടികയിലെ ഉപകരണങ്ങൾ പേരിനനുസരിച്ച് ക്രമീകരിച്ചിരിക്കുന്നു. “ടൂൾ നെയിം” കോളം ടൂൾ ആർക്കൈവിലേക്ക് ഭീഷണിപ്പെടുത്തുന്ന നടൻ നൽകിയ പേരുമായി യോജിക്കുന്നു, കൂടാതെ “ആർക്കൈവ് പാത്ത്” കോളം സി&സി സെർവറിലെ ടൂളിന്റെ ആർക്കൈവിന്റെ ആപേക്ഷിക പാത പട്ടികപ്പെടുത്തുന്നു. “ടൂളിന്റെ പേര്” “N/A” എന്ന് സജ്ജീകരിച്ചിരിക്കുന്ന ടൂളുകൾ, C&C സെർവറിൽ നിലവിലുള്ള ടൂളുകളെയാണ് സൂചിപ്പിക്കുന്നത്, എന്നാൽ ഞങ്ങൾക്ക് അറിയാവുന്ന ഏതെങ്കിലും കോൺഫിഗറേഷനിൽ CosmicBeetle ഉപയോഗിക്കുന്നില്ല. അവസാനമായി, ചില ടൂളുകൾ C&C സെർവറിൽ ഇല്ലെന്ന് തോന്നുന്നു, എന്നിരുന്നാലും അവ അഭ്യർത്ഥിക്കുന്നതിനുള്ള ഒരു ബട്ടൺ ScHackTool-ൽ നിലവിലുണ്ട് - ഇത് "അഭിപ്രായം" കോളം "N/A" ആയി സജ്ജീകരിക്കുന്നതിലൂടെ പ്രതിഫലിക്കുന്നു.

അനുബന്ധം ബി - അവസാനിപ്പിച്ച പ്രക്രിയകളുടെയും സേവനങ്ങളുടെയും പട്ടിക

AcronisAgent
AcrSch2Svc
Apache2
avpsus
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDiveciMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
bes10*
black*
BMR Boot Service
CAARCUpdateSvc
CASAD2DWebSvc
ccEvtMgr
ccSetMgr
DefWatch
fbgu*
fdlauncher*
firebird*
firebirdguardiandefaultinstance
IBM Domino Diagnostics (CProgramFilesIBMDomino)
IBM Domino Server (CProgramFilesIBMDominodata)
IBM*
ibmiasrw
IISADMIN
Intuit.QuickBooks.FCS
McAfeeDLPAgentService
mfewc
mr2kserv
MsDtsServer110
MsDtsSrvr*
MSExchangeADTopology
MSExchangeFBA
MSExchangeIS
MSExchangeSA
msmdsrv*
MSSQL$ISARS
MSSQL$MSFW
MSSQLFDLauncher
MSSQLServerADHelper100
MSSQLServerOLAPService
MySQL
mysql*
mysqld.exe
NetBackup BMR MTFTP Service
orac*
PDVFSService
postg*
QBCFMonitorService
QBFCService
QBIDPService
QBPOSDBServiceV12
QBVSS
QuickBooksDB1
QuickBooksDB10
QuickBooksDB11
QuickBooksDB12
QuickBooksDB13
QuickBooksDB14
QuickBooksDB15
QuickBooksDB16
QuickBooksDB17
QuickBooksDB18
QuickBooksDB19
QuickBooksDB2
QuickBooksDB20
QuickBooksDB21
QuickBooksDB22
QuickBooksDB23
QuickBooksDB24
QuickBooksDB25
QuickBooksDB3
QuickBooksDB4
QuickBooksDB5
QuickBooksDB6
QuickBooksDB7
QuickBooksDB8
QuickBooksDB9
ReportingServicesService*
ReportServer
ReportServer$ISARS
RTVscan
sage*
SavRoam
ShadowProtectSvc
Simply Accounting Database Connection Manager
sophos
SPAdminV4
SPSearch4
SPTimerV4
SPTraceV4
SPUserCodeV4
SPWriterV4
sql
SQL Backup Master
SQL Server (MSSQLServer)
SQL Server Agent (MSSQLServer)
SQL Server Analysis Services (MSSQLServer)
SQL Server Browser
SQL Server FullText Search (MSSQLServer)
SQL Server Integration Services
SQL Server Reporting Services (MSSQLServer)
sql*
SQLAgent$ISARS
SQLAgent$MSFW
SQLAGENT90.EXE
SQLBrowser
sqlbrowser.exe
sqlservr.exe
SQLWriter
sqlwriter.exe
stc_raw_agent
store.exe
vee*
veeam
VeeamDeploymentService
VeeamNFSSvc
VeeamTransportSvc
VSNAPVSS
WinDefend
YooBackup
YooIT
Zhudongfangyu

അനുബന്ധം സി - എല്ലാവരെയും കൊല്ലുക (സ്ഥിരസ്ഥിതി) ബട്ടൺ ഉപയോഗിച്ച് പ്രക്രിയകൾ ഇല്ലാതാക്കി

മുമ്പ് അവസാനിപ്പിച്ച പ്രക്രിയകളുടെ പേരുകൾ എല്ലാവരെയും കൊല്ലുക (സ്ഥിരസ്ഥിതി) ബട്ടൺ:

app.exe
ApplicationFrameHost.exe
blnsvr.exe
cmd.exe
conhost.exe
csrss.exe
dllhost.exe
dwm.exe
explorer.exe
LogonUI.exe
lsass.exe
msdtc.exe
openvpn-gui.exe
Project1.exe
rdpclip.exe
RuntimeBroker.exe
SearchUI.exe
services.exe
ShellExperienceHost.exe
sihost.exe
smss.exe
spoolsv.exe
svchost.exe
taskhost.exe
taskhostex.exe
taskhostw.exe
tasklist.exe
Taskmgr.exe
vmcompute.exe
vmms.exe
w3wp.exe
wininit.exe
winlogon.exe
wlms.exe
WmiPrvSE.exe

• SEO പവർ ചെയ്ത ഉള്ളടക്കവും PR വിതരണവും. ഇന്ന് ആംപ്ലിഫൈഡ് നേടുക.
• PlatoData.Network ലംബ ജനറേറ്റീവ് Ai. സ്വയം ശാക്തീകരിക്കുക. ഇവിടെ പ്രവേശിക്കുക.
• PlatoAiStream. Web3 ഇന്റലിജൻസ്. വിജ്ഞാനം വർധിപ്പിച്ചു. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോഇഎസ്ജി. ഓട്ടോമോട്ടീവ് / ഇവികൾ, കാർബൺ, ക്ലീൻ ടെക്, ഊർജ്ജം, പരിസ്ഥിതി, സോളാർ, മാലിന്യ സംസ്കരണം. ഇവിടെ പ്രവേശിക്കുക.
• പ്ലേറ്റോ ഹെൽത്ത്. ബയോടെക് ആൻഡ് ക്ലിനിക്കൽ ട്രയൽസ് ഇന്റലിജൻസ്. ഇവിടെ പ്രവേശിക്കുക.
• ചാർട്ട് പ്രൈം. ChartPrime ഉപയോഗിച്ച് നിങ്ങളുടെ ട്രേഡിംഗ് ഗെയിം ഉയർത്തുക. ഇവിടെ പ്രവേശിക്കുക.
• ബ്ലോക്ക്ഓഫ്സെറ്റുകൾ. പരിസ്ഥിതി ഓഫ്‌സെറ്റ് ഉടമസ്ഥാവകാശം നവീകരിക്കുന്നു. ഇവിടെ പ്രവേശിക്കുക.
• അവലംബം: https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/