APT ম্যালওয়্যার লোড করার জন্য একটি দূষিত নথির সাথে একটি পরিচিত মাইক্রোসফ্ট ত্রুটি যুক্ত করছে যা ক্রোম, ফায়ারফক্স এবং এজ ব্রাউজার থেকে শংসাপত্র সংগ্রহ করে।
উন্নত ক্রমাগত হুমকি গ্রুপ ফ্যান্সি বিয়ার পিছনে একটি ফিশিং ক্যাম্পেইন যেটি একটি পরিচিত ওয়ান-ক্লিক মাইক্রোসফ্টের ত্রুটিকে কাজে লাগানোর জন্য পারমাণবিক যুদ্ধের ভূত ব্যবহার করে। লক্ষ্য হল ম্যালওয়্যার সরবরাহ করা যা ক্রোম, ফায়ারফক্স এবং এজ ব্রাউজার থেকে শংসাপত্র চুরি করতে পারে।
ম্যালওয়্যারবাইটস থ্রেট ইন্টেলিজেন্সের গবেষকদের মতে, রাশিয়া-সংযুক্ত APT-এর আক্রমণগুলি রাশিয়ান এবং ইউক্রেন যুদ্ধের সাথে জড়িত। তারা রিপোর্ট করে যে ফ্যান্সি বিয়ার শোষণের জন্য অস্ত্রের সাহায্যে দূষিত নথিগুলিকে ঠেলে দিচ্ছে ফলিনা (জন্য CVE-2022-30190), একটি পরিচিত মাইক্রোসফট এক-ক্লিক ত্রুটি, একটি অনুযায়ী ব্লগ পোস্ট এই সপ্তাহে প্রকাশিত।
"এই প্রথম আমরা APT28 এর অপারেশনে Follina ব্যবহার করে পর্যবেক্ষণ করেছি," গবেষকরা পোস্টে লিখেছেন। অভিনব ভাল্লুক APT28, Strontium এবং Sofacy নামেও পরিচিত।
20 জুন, ম্যালওয়্যারবাইটস গবেষকরা প্রথমে অস্ত্রযুক্ত নথিটি পর্যবেক্ষণ করেন, যা প্রথমে একটি .Net চুরিকারী ডাউনলোড করে এবং কার্যকর করে Google দ্বারা রিপোর্ট করা হয়েছে. Google-এর থ্রেট অ্যানালাইসিস গ্রুপ (TAG) বলেছে যে অভিনব বিয়ার ইতিমধ্যেই ইউক্রেনের ব্যবহারকারীদের লক্ষ্য করার জন্য এই চুরিকারী ব্যবহার করেছে।
ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) এছাড়াও স্বাধীনভাবে আবিষ্কৃত ম্যালওয়্যারবাইটস অনুসারে সাম্প্রতিক ফিশিং প্রচারাভিযানে ফ্যান্সি বিয়ার দ্বারা ব্যবহৃত দূষিত নথি।
বিয়ার অন দ্য লুজ
CERT-UA পূর্বে চিহ্নিত করা হয়েছে ফেন্সি বিয়ার ফেব্রুয়ারী মাসের শেষের দিকে রাশিয়ান সৈন্যদের আক্রমণের সমান্তরালে সাইবার-আক্রমণে ইউক্রেনকে ধাক্কা দেয় এমন অসংখ্য APTগুলির মধ্যে একটি। গ্রুপটি রাশিয়ান গোয়েন্দাদের নির্দেশে কাজ করছে বলে ধারণা করা হচ্ছে এজেন্সির কাজে লাগবে এমন তথ্য সংগ্রহ করতে।
অতীতে ফ্যান্সি বিয়ার নির্বাচনকে লক্ষ্য করে হামলার সাথে যুক্ত ছিল যুক্ত রাষ্টগুলোের মধ্যে এবং ইউরোপ, পাশাপাশি হিসাবে স্পোর্টিং এবং অ্যান্টি-ডোপিং এজেন্সিগুলির বিরুদ্ধে হ্যাক 2020 অলিম্পিক গেমসের সাথে সম্পর্কিত।
গবেষকরা এপ্রিলে প্রথম ফোলিনাকে পতাকা দিয়েছিলেন, কিন্তু শুধুমাত্র মে মাসে এটি কি আনুষ্ঠানিকভাবে একটি শূন্য-দিন, এক-ক্লিক শোষণ হিসাবে চিহ্নিত হয়েছিল। Follina মাইক্রোসফ্ট সাপোর্ট ডায়াগনস্টিক টুল (MSDT) এর সাথে যুক্ত এবং ms-msdt প্রোটোকল ব্যবহার করে Word বা অন্য অফিস ডকুমেন্ট থেকে ক্ষতিকারক কোড লোড করার জন্য যখন সেগুলি খোলা হয়।
বাগটি বেশ কয়েকটি কারণে বিপজ্জনক- যার মধ্যে সবচেয়ে কম নয় এটির প্রশস্ত আক্রমণের পৃষ্ঠ, কারণ এটি মূলত উইন্ডোজের সমস্ত বর্তমান সমর্থিত সংস্করণগুলিতে মাইক্রোসফ্ট অফিস ব্যবহার করে এমন কাউকে প্রভাবিত করে। যদি সফলভাবে শোষণ করা হয়, আক্রমণকারীরা কার্যকরভাবে একটি সিস্টেম দখল করতে এবং প্রোগ্রাম ইনস্টল করতে, ডেটা দেখতে, পরিবর্তন করতে বা মুছে ফেলার বা নতুন অ্যাকাউন্ট তৈরি করতে ব্যবহারকারীর অধিকার অর্জন করতে পারে।
মাইক্রোসফ্ট সম্প্রতি তার মধ্যে Follina প্যাচ জুন প্যাচ মঙ্গলবার মুক্তি কিন্তু এটি রয়ে গেছে সক্রিয় শোষণের অধীনে পরিচিত APT সহ হুমকি অভিনেতাদের দ্বারা।
পারমাণবিক হামলার হুমকি
ফ্যান্সি বিয়ারের ফলিনা প্রচারাভিযান ব্যবহারকারীদের লক্ষ্য করে একটি দূষিত RTF ফাইল বহন করে যার নাম "পরমাণু সন্ত্রাসবাদ একটি খুব বাস্তব হুমকি" নামে একটি ইমেল রয়েছে যাতে শিকারদের ভয় দেখানোর চেষ্টা করা হয় যে ইউক্রেনের আক্রমণ একটি পারমাণবিক সংঘাতে পরিণত হবে, গবেষকরা পোস্টে বলেছেন। নথির বিষয়বস্তু হল একটি প্রবন্ধ আন্তর্জাতিক বিষয়ক গ্রুপ আটলান্টিক কাউন্সিল থেকে যে সম্ভাবনা অন্বেষণ যে পুতিন ইউক্রেনের যুদ্ধে পারমাণবিক অস্ত্র ব্যবহার করবে.
URL http://kitten-268[.]frge[.]io/article[.]html থেকে একটি দূরবর্তী HTML ফাইল পুনরুদ্ধার করতে ক্ষতিকারক ফাইলটি Document.xml.rels ফাইলে এমবেড করা একটি দূরবর্তী টেমপ্লেট ব্যবহার করে৷ এইচটিএমএল ফাইলটি তারপর ms-msdt MSProtocol URI স্কিম ব্যবহার করে একটি এনকোডেড পাওয়ারশেল স্ক্রিপ্ট লোড এবং কার্যকর করতে window.location.href-এ জাভাস্ক্রিপ্ট কল ব্যবহার করে, গবেষকরা বলেছেন।
পাওয়ারশেল চূড়ান্ত পেলোড লোড করে- .Net স্টিলারের একটি রূপ যা আগে ইউক্রেনের অন্যান্য অভিনব বিয়ার প্রচারাভিযানে Google দ্বারা চিহ্নিত করা হয়েছিল৷ যদিও চুরিকারীর প্রাচীনতম বৈকল্পিকটি এটি যা করছে তা থেকে ব্যবহারকারীদের বিভ্রান্ত করার জন্য একটি জাল ত্রুটি বার্তা পপ-আপ ব্যবহার করেছিল, কিন্তু পারমাণবিক-থিমযুক্ত প্রচারে ব্যবহৃত বৈকল্পিকটি তা করে না, গবেষকরা বলেছেন।
অন্যান্য কার্যকারিতার ক্ষেত্রে, সম্প্রতি দেখা ভেরিয়েন্টটি আগেরটির সাথে "প্রায় অভিন্ন", "কিছু ছোটখাট রিফ্যাক্টর এবং কিছু অতিরিক্ত ঘুমের কমান্ড সহ," তারা যোগ করেছে।
আগের ভেরিয়েন্টের মতো, চুরিকারীর মূল উদ্দেশ্য হল গুগল ক্রোম, মাইক্রোসফ্ট এজ এবং ফায়ারফক্স সহ বেশ কয়েকটি জনপ্রিয় ব্রাউজার থেকে ব্যবহারকারীর নাম, পাসওয়ার্ড এবং URL-এর মতো ওয়েবসাইটের শংসাপত্র সহ ডেটা চুরি করা। ম্যালওয়্যারটি তারপরে IMAP ইমেল প্রোটোকল ব্যবহার করে তার কমান্ড-এন্ড-কন্ট্রোল সার্ভারে ডেটা এক্সফিল্টার করে একইভাবে আগের বৈকল্পিকটি কিন্তু এবার একটি ভিন্ন ডোমেনে, গবেষকরা বলেছেন।
"এই স্টিলারের পুরানো রূপটি মেইলের সাথে সংযুক্ত [.]sartoc.com (144.208.77.68) ডেটা অপসারণ করার জন্য," তারা লিখেছিল। “নতুন ভেরিয়েন্ট একই পদ্ধতি ব্যবহার করে কিন্তু একটি ভিন্ন ডোমেন, www.specialityllc[.]com ব্যবহার করে। মজার ব্যাপার হল দুটোই দুবাইতে অবস্থিত।”
গবেষকরা যোগ করেছেন যে ওয়েবসাইটগুলির মালিকদের সম্ভবত APT28 এর সাথে কোনও সম্পর্ক নেই, গ্রুপটি কেবল পরিত্যক্ত বা দুর্বল সাইটগুলির সুবিধা গ্রহণ করে।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- সরকার
- হ্যাক
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
