হুমকি অভিনেতা ইউরোপ এবং এশিয়ার প্রতিষ্ঠান এবং কোম্পানিগুলিকে লক্ষ্য করে।
একটি অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) গ্রুপ, যাকে টডিক্যাট বলা হয়, এশিয়া এবং ইউরোপের হাই-প্রোফাইল সরকারী এবং সামরিক স্থাপনাগুলির মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারকে লক্ষ্য করে একাধিক আক্রমণের পিছনে বিশ্বাস করা হয়। গবেষকদের মতে, প্রচারাভিযানগুলি 2020 সালের ডিসেম্বরে শুরু হয়েছিল এবং এখন পর্যন্ত তাদের জটিলতায় অনেকটাই খারাপভাবে বোঝা যায় নি।
"আক্রমণের প্রথম তরঙ্গ একচেটিয়াভাবে মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারকে লক্ষ্য করে, যেগুলি সামুরাইয়ের সাথে আপস করা হয়েছিল, একটি অত্যাধুনিক প্যাসিভ ব্যাকডোর যা সাধারণত 80 এবং 443 পোর্টে কাজ করে," ক্যাসপারস্কির নিরাপত্তা গবেষক গিয়াম্পাওলো ডেডোলা লিখেছেন, APT রূপরেখা একটি প্রতিবেদনে.
গবেষকরা বলেছেন টডিক্যাট একটি তুলনামূলকভাবে নতুন এপিটি এবং "এই অভিনেতা সম্পর্কে খুব কম তথ্য রয়েছে।"
এপিটি এক্সচেঞ্জ সার্ভার পরিবেশের মধ্যে সামুরাই এবং নিনজা নামক ম্যালওয়্যার সহ দুটি প্যাসিভ ব্যাকডোর ব্যবহার করে, যা গবেষকরা বলছেন যে প্রতিপক্ষরা শিকারের হার্ডওয়্যার এবং নেটওয়ার্কের সম্পূর্ণ নিয়ন্ত্রণ নিতে ব্যবহার করে।
সামুরাই ম্যালওয়্যারটি কুখ্যাতদের দ্বারা শুরু করা বহু-পর্যায়ের সংক্রমণ শৃঙ্খলের একটি অংশ ছিল চীন চপার এবং ওয়েব শেল উপর নির্ভর করে ডিসেম্বর 2020 থেকে তাইওয়ান এবং ভিয়েতনামের নির্বাচিত এক্সচেঞ্জ সার্ভারে শোষণ ড্রপ করার জন্য, ক্যাসপারস্কি রিপোর্ট করেছে।
গবেষকরা বলেছেন যে ম্যালওয়্যার "স্বেচ্ছাচারী C# কোড এক্সিকিউশন এবং একাধিক মডিউলের সাথে ব্যবহার করা হয় যা আক্রমণকারীকে দূরবর্তী সিস্টেম পরিচালনা করতে এবং লক্ষ্যযুক্ত নেটওয়ার্কের মধ্যে পার্শ্বীয়ভাবে সরানোর অনুমতি দেয়।" কিছু ক্ষেত্রে, তারা বলেছে, সামুরাই ব্যাকডোর নিনজা নামে আরেকটি দূষিত প্রোগ্রাম চালু করার পথ তৈরি করে।
সাইবারসিকিউরিটি ফার্ম দ্বারা টডিক্যাটের হুমকি কার্যক্রমের দিকগুলিও ট্র্যাক করা হয়েছিল ESET, যা "ক্রিয়াকলাপগুলির ক্লাস্টার"কে ওয়েবসিক হিসাবে বন্যতে দেখা যায়। ইতিমধ্যে, GTSC-এর গবেষকরা গ্রুপের সংক্রমণ ভেক্টর এবং কৌশলগুলির আরেকটি অংশ চিহ্নিত করেছেন একটি প্রতিবেদনে ম্যালওয়্যারের ড্রপার কোড ডেলিভারির রূপরেখা.
"এটি বলেছে, যতদূর আমরা জানি, কোনো পাবলিক অ্যাকাউন্টে সম্পূর্ণ সংক্রমণ শৃঙ্খল বা এই গ্রুপের অপারেশনের অংশ হিসাবে নিয়োজিত ম্যালওয়্যারের পরবর্তী পর্যায়ের দৃশ্য বর্ণনা করা হয়নি," ক্যাসপারস্কি লিখেছেন।
বছরের পর বছর ধরে এক্সচেঞ্জ সার্ভারে একাধিক স্ট্রিং আক্রমণ
ডিসেম্বর 2020 থেকে 2021 সালের ফেব্রুয়ারির মধ্যে, তাইওয়ান এবং ভিয়েতনামের সীমিত সংখ্যক সার্ভারের বিরুদ্ধে আক্রমণের প্রথম তরঙ্গ চালানো হয়েছিল।
পরবর্তী সময়ে, ফেব্রুয়ারী 2021 থেকে মে 2021 এর মধ্যে, গবেষকরা আক্রমণে আকস্মিক বৃদ্ধি লক্ষ্য করেছেন। তখনই, তারা বলেছিল, হুমকি অভিনেতা গালাগাল শুরু করে প্রক্সিলগন ইরান, ভারত, মালয়েশিয়া, স্লোভাকিয়া, রাশিয়া এবং যুক্তরাজ্য সহ একাধিক দেশে লক্ষ্যবস্তু সংস্থাগুলির জন্য দুর্বলতা।
মে 2021 এর পরে, গবেষকরা একই গ্রুপের সাথে যুক্ত বৈশিষ্ট্যগুলি পর্যবেক্ষণ করেছেন যা পূর্বে উল্লেখিত দেশগুলির পাশাপাশি ইন্দোনেশিয়া, উজবেকিস্তান এবং কিরগিজস্তানে অবস্থিত সামরিক এবং সরকারী সংস্থাগুলিকে লক্ষ্য করে। তৃতীয় তরঙ্গে আক্রমণের পৃষ্ঠটি ডেস্কটপ সিস্টেমে প্রসারিত করা হয়েছে যখন আগে সুযোগটি শুধুমাত্র মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারে সীমাবদ্ধ ছিল।
অ্যাটাক সিকোয়েন্স
চায়না চপার ওয়েব শেল অ্যাটাক সিকোয়েন্স স্থাপনের পরে অ্যাটাক সিকোয়েন্স শুরু করা হয়, যা ড্রপারকে কম্পোনেন্ট এক্সিকিউট ও ইন্সটল করতে এবং একাধিক রেজিস্ট্রি কী তৈরি করতে দেয়।
পূর্বের ধাপে রেজিস্ট্রি পরিবর্তন "svchost" কে একটি ক্ষতিকারক লাইব্রেরি "iiswmi.dll" লোড করতে বাধ্য করে এবং তৃতীয় ধাপে আমন্ত্রণ জানানোর জন্য তার ক্রিয়া সম্পাদন করে যেখানে একটি ". নেট লোডার" সামুরাই ব্যাকডোর চালায় এবং খুলে দেয়।
গবেষকদের মতে, রিভার্স ইঞ্জিনিয়ারিং প্রক্রিয়ার সময় সামুরাই ব্যাকডোর সনাক্ত করা কঠিন কারণ এটি "নির্দেশের মধ্যে লাফ দেওয়ার জন্য কেসগুলিকে পরিবর্তন করে, এইভাবে নিয়ন্ত্রণ প্রবাহকে সমতল করে" এবং অস্পষ্টকরণ কৌশল ব্যবহার করে।
নির্দিষ্ট ঘটনাগুলিতে, একই মেশিনে একসাথে কাজ করার জন্য একাধিক অপারেটরকে সমন্বয় ও সহযোগিতা করার জন্য সামুরাই দ্বারা উন্নত টুল নিনজা প্রয়োগ করা হয়েছিল। গবেষকরা ব্যাখ্যা করেছেন যে নিনজা একটি বৃহৎ সেট কমান্ড সরবরাহ করে যা একজন আক্রমণকারীকে "দূরবর্তী সিস্টেমগুলি নিয়ন্ত্রণ করতে, সনাক্তকরণ এড়াতে এবং লক্ষ্যযুক্ত নেটওয়ার্কের গভীরে প্রবেশ করতে" অনুমতি দেয়।
নিনজা সামর্থ্য এবং বৈশিষ্ট্যের ক্ষেত্রে কোবাল্ট স্ট্রাইকের মতো অন্যান্য শোষণ-পরবর্তী টুলকিটের সাথে মিল শেয়ার করে। এটি "HTTP সূচকগুলি নিয়ন্ত্রণ করতে পারে এবং HTTP অনুরোধগুলিতে দূষিত ট্র্যাফিক ছদ্মবেশ ধারণ করতে পারে যা HTTP শিরোনাম এবং URL পাথগুলি সংশোধন করে বৈধ বলে মনে হয়," গবেষক উল্লেখ করেছেন৷
ToddyCat কার্যকলাপ চাইনিজ APT-তে প্রসারিত করুন
প্রতিবেদনে বলা হয়েছে, চীন ভিত্তিক হ্যাকাররা একই সময়ের মধ্যে টডিক্যাট এপিটি গ্যাংয়ের শিকারদের টার্গেট করছে। এই ক্ষেত্রে, গবেষকরা দেখেছেন যে চীনা-ভাষার হ্যাকাররা ফানিড্রিম নামে একটি এক্সচেঞ্জ ব্যাকডোর ব্যবহার করে।
“এই ওভারল্যাপটি আমাদের দৃষ্টি আকর্ষণ করেছে, যেহেতু টডিক্যাট ম্যালওয়্যার ক্লাস্টার আমাদের টেলিমেট্রি অনুসারে খুব কমই দেখা যায়; এবং আমরা তিনটি ভিন্ন দেশে উভয় এপিটি দ্বারা সমঝোতা লক্ষ্যমাত্রা লক্ষ্য করেছি। তদুপরি, সমস্ত ক্ষেত্রে স্টেজিং অবস্থানগুলিতে একটি নৈকট্য ছিল এবং একটি ক্ষেত্রে তারা একই ডিরেক্টরি ব্যবহার করেছিল, "গবেষকরা লিখেছেন।
নিরাপত্তা গবেষকরা বিশ্বাস করেন যে 'মঞ্চায়নের স্থানে মাঝে মাঝে সান্নিধ্য' থাকা সত্ত্বেও, তাদের কাছে এমন কোনো সুনির্দিষ্ট প্রমাণ নেই যা দুটি ম্যালওয়্যার পরিবারের মধ্যে সংযোগ দেখায়।
"ওভারল্যাপ সত্ত্বেও, আমরা এই মুহুর্তে ফানি ড্রিম ক্লাস্টারের সাথে টডিক্যাটকে একত্রিত করতে আত্মবিশ্বাসী বোধ করছি না," ক্যাসপারস্কি লিখেছেন৷ প্রতিবেদনে যোগ করা হয়েছে, "আমরা যে সমস্ত শিকারকে আবিষ্কার করেছি তাদের হাই-প্রোফাইল প্রকৃতি বিবেচনা করে, সম্ভবত তারা বেশ কয়েকটি APT গ্রুপের জন্য আগ্রহী ছিল।"
ক্যাসপারস্কি লিখেছেন, "সরকারি এবং সামরিক উভয় ক্ষেত্রেই ক্ষতিগ্রস্ত সংস্থাগুলি দেখায় যে এই গোষ্ঠীটি খুব উচ্চ-প্রোফাইল লক্ষ্যগুলির উপর দৃষ্টি নিবদ্ধ করে এবং সম্ভবত ভূ-রাজনৈতিক স্বার্থের সাথে সম্পর্কিত সমালোচনামূলক লক্ষ্যগুলি অর্জনের জন্য ব্যবহৃত হয়।"
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- সরকার
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
