Grandoreiro botnet ব্যাহত করার প্রয়াসে ESET ব্রাজিলের ফেডারেল পুলিশের সাথে সহযোগিতা করেছে। ESET প্রযুক্তিগত বিশ্লেষণ, পরিসংখ্যানগত তথ্য এবং পরিচিত কমান্ড অ্যান্ড কন্ট্রোল (C&C) সার্ভার ডোমেইন নাম এবং IP ঠিকানা প্রদান করে প্রকল্পটিতে অবদান রেখেছে। গ্র্যান্ডোরিরোর নেটওয়ার্ক প্রোটোকলের একটি নকশা ত্রুটির কারণে, ইএসইটি গবেষকরাও শিকারবিদ্যার একটি আভাস পেতে সক্ষম হন।
ESET স্বয়ংক্রিয় সিস্টেমগুলি হাজার হাজার গ্র্যান্ডোরেইরো নমুনা প্রক্রিয়া করেছে। ডোমেইন জেনারেশন অ্যালগরিদম (DGA) ম্যালওয়্যারটি প্রায় 2020 সালের অক্টোবর থেকে ব্যবহার করে একটি প্রধান ডোমেন তৈরি করে এবং ঐচ্ছিকভাবে বেশ কয়েকটি ব্যর্থ নিরাপদ ডোমেন প্রতিদিন তৈরি করে। ডিজিএ হল একমাত্র উপায় যা গ্র্যান্ডোরেইরো জানে কিভাবে একটি C&C সার্ভারে রিপোর্ট করতে হয়। বর্তমান তারিখের পাশাপাশি, ডিজিএ স্ট্যাটিক কনফিগারেশনও গ্রহণ করে - আমরা এই লেখার মতো 105টি কনফিগারেশন পর্যবেক্ষণ করেছি।
Grandoreiro এর অপারেটররা তাদের নেটওয়ার্ক অবকাঠামো হোস্ট করার জন্য Azure এবং AWS এর মত ক্লাউড প্রদানকারীদের অপব্যবহার করেছে। ESET গবেষকরা এই সার্ভারগুলি সেট আপ করার জন্য দায়ী অ্যাকাউন্টগুলি সনাক্ত করার জন্য গুরুত্বপূর্ণ ডেটা সরবরাহ করেছেন। ব্রাজিলের ফেডারেল পুলিশ দ্বারা সঞ্চালিত আরও তদন্ত নেতৃত্বে সনাক্তকরণ এবং গ্রেফতার এই সার্ভারের নিয়ন্ত্রণে থাকা ব্যক্তিদের। এই ব্লগপোস্টে, আমরা এই বিঘ্নিত অপারেশন চালানোর জন্য আইন প্রয়োগকারীকে সহায়তা করার জন্য কীভাবে ডেটা পেয়েছি তা দেখি।
পটভূমি
গ্র্যান্ডোরেইরো অনেকের মধ্যে একটি ল্যাটিন আমেরিকান ব্যাংকিং ট্রোজান. এটি কমপক্ষে 2017 সাল থেকে সক্রিয় রয়েছে এবং ESET গবেষকরা তখন থেকেই এটিকে ঘনিষ্ঠভাবে ট্র্যাক করছেন৷ গ্র্যান্ডোরেইরো ব্রাজিল এবং মেক্সিকোকে লক্ষ্য করে এবং 2019 সাল থেকে স্পেনও (চিত্র 1 দেখুন)। 2020 থেকে 2022 সালের মধ্যে স্পেন সবচেয়ে বেশি টার্গেট করা দেশ হলেও, 2023 সালে আমরা মেক্সিকো এবং আর্জেন্টিনার দিকে ফোকাস করার একটি স্পষ্ট পরিবর্তন লক্ষ্য করেছি, পরবর্তীটি গ্র্যান্ডোরেইরোতে নতুন।
কার্যকারিতা অনুসারে, গ্র্যান্ডোরেইরো আমাদের শেষ থেকে খুব বেশি পরিবর্তন হয়নি 2020 সালে ব্লগপোস্ট. আমরা এই বিভাগে ম্যালওয়্যারের একটি সংক্ষিপ্ত ওভারভিউ অফার করি এবং কিছু পরিবর্তন, প্রধানত নতুন ডিজিএ লজিক, পরে।
যখন একটি ল্যাটিন আমেরিকান ব্যাঙ্কিং ট্রোজান সফলভাবে একটি মেশিনের সাথে আপস করে, তখন এটি সাধারণত একটি রিমোট সার্ভারে একটি HTTP GET অনুরোধ জারি করে, আপস করা মেশিন সম্পর্কে কিছু প্রাথমিক তথ্য পাঠায়। যদিও পুরানো গ্র্যান্ডোরেইরো বিল্ডগুলি এই বৈশিষ্ট্যটি প্রয়োগ করেছে, সময়ের সাথে সাথে, বিকাশকারীরা এটি বাদ দেওয়ার সিদ্ধান্ত নিয়েছে।
Grandoreiro পর্যায়ক্রমে একটি ওয়েব ব্রাউজার প্রক্রিয়ার অন্তর্গত একটি খুঁজে পেতে অগ্রভাগের উইন্ডো নিরীক্ষণ করে। যখন এই ধরনের একটি উইন্ডো পাওয়া যায় এবং এর নাম ব্যাঙ্ক-সম্পর্কিত স্ট্রিংগুলির একটি হার্ডকোড করা তালিকা থেকে যে কোনও স্ট্রিংয়ের সাথে মেলে, তখন এবং শুধুমাত্র তখনই ম্যালওয়্যারটি তার C&C সার্ভারের সাথে যোগাযোগ শুরু করে, শেষ না হওয়া পর্যন্ত সেকেন্ডে অন্তত একবার অনুরোধ পাঠায়।
একজন ভিকটিম এর টাকা চুরি করার জন্য অপারেটরকে আপস করা মেশিনের সাথে ম্যানুয়ালি যোগাযোগ করতে হবে। ম্যালওয়্যার অনুমতি দেয়:
- শিকারের পর্দা ব্লক করা,
- লগিং কীস্ট্রোক,
- মাউস এবং কীবোর্ড কার্যকলাপ অনুকরণ,
- শিকারের স্ক্রিন শেয়ার করা, এবং
- জাল পপ-আপ উইন্ডো প্রদর্শন করা হচ্ছে।
গ্র্যান্ডোরেইরো দ্রুত এবং ধ্রুবক বিকাশের মধ্য দিয়ে যাচ্ছে। মাঝে মাঝে, আমরা এমনকি সপ্তাহে বেশ কয়েকটি নতুন বিল্ড দেখেছি, যা ট্র্যাক রাখা কঠিন করে তোলে। প্রদর্শনের জন্য, 2022 সালের ফেব্রুয়ারিতে, Grandoreiro-এর অপারেটররা বাইনারিগুলিতে একটি সংস্করণ শনাক্তকারী যোগ করেছে। চিত্র 2-এ আমরা দেখাই যে সংস্করণ শনাক্তকারী কত দ্রুত পরিবর্তিত হয়েছে। গড়ে, এটি ফেব্রুয়ারি 2022 থেকে জুন 2022 এর মধ্যে প্রতি চার দিনে একটি নতুন সংস্করণ ছিল। 24 মে এর মধ্যে মাসব্যাপী ব্যবধানেth, 2022 এবং 22 জুনnd, 2022 আমরা PE সংকলন সময়ের অগ্রগতির সাথে নতুন নমুনা দেখতে থাকি, কিন্তু তাদের সংস্করণ শনাক্তকারীর অভাব ছিল। 27 জুনth, 2022 সংস্করণ শনাক্তকারী পরিবর্তিত হয়েছে V37 এবং তারপর থেকে আমরা এটিকে পরিবর্তন করতে দেখিনি, আমাদের এই উপসংহারে ছেড়ে গেছে যে এই বৈশিষ্ট্যটি বাদ দেওয়া হয়েছে।
ল্যাটিন আমেরিকান ব্যাংকিং ট্রোজান অনেক মিল শেয়ার করুন. গ্র্যান্ডোরেইরো অন্যান্য ল্যাটিন আমেরিকান ব্যাঙ্কিং ট্রোজানগুলির মতোই প্রধানত সুস্পষ্ট মূল কার্যকারিতা এবং MSI ইনস্টলারদের মধ্যে এর ডাউনলোডারগুলিকে একত্রিত করার জন্য। অতীতে, আমরা কয়েকটি ক্ষেত্রে লক্ষ্য করেছি যেখানে এর ডাউনলোডারদের সাথে শেয়ার করা হয়েছিল মেকোটিও এবং ভাডোক্রিস্টযদিও গত দুই বছরে না। অন্যান্য পরিবারের থেকে গ্র্যান্ডোরেইরো ব্যাঙ্কিং ট্রোজানের প্রধান পার্থক্য ছিল এটির অনন্য বাইনারি প্যাডিং প্রক্রিয়া যা ব্যাপকভাবে চূড়ান্ত সম্পাদনযোগ্য (আমাদের মধ্যে বর্ণিত 2020 সালে ব্লগপোস্ট) সময়ের সাথে সাথে, গ্র্যান্ডোরেইরোর অপারেটররা এই অ্যান্টি-অ্যানালাইসিস কৌশলটি এর ডাউনলোডারদের সাথেও যুক্ত করেছে। আমাদের আশ্চর্যের জন্য, Q3 2023-এ, এই বৈশিষ্ট্যটি সম্পূর্ণরূপে ব্যাঙ্কিং ট্রোজান এবং ডাউনলোডার বাইনারিগুলি থেকে বাদ দেওয়া হয়েছিল এবং তারপর থেকে আমরা এটি পর্যবেক্ষণ করিনি।
ফেব্রুয়ারি 2022 থেকে, আমরা একটি ট্র্যাক করছি দ্বিতীয় বৈকল্পিক Grandoreiro যে প্রধান এক থেকে উল্লেখযোগ্যভাবে পৃথক. আমরা মার্চ, মে, এবং জুন 2022-এ এটিকে ছোট প্রচারাভিযানে দেখেছি। এর সিএন্ডসি সার্ভার ডোমেনগুলির বেশিরভাগই সমাধান হচ্ছে না, এর মূল বৈশিষ্ট্যগুলি প্রায়শই পরিবর্তিত হচ্ছে এবং এর নেটওয়ার্ক প্রোটোকল সঠিকভাবে কাজ করছে না, আমরা দৃঢ়ভাবে বিশ্বাস করি যে এটি একটি কাজ চলছে; তাই আমরা এই ব্লগপোস্টে প্রধান বৈকল্পিকের উপর ফোকাস করব।
Grandoreiro দীর্ঘমেয়াদী ট্র্যাকিং
নির্বাচিত ম্যালওয়্যার পরিবারগুলির স্বয়ংক্রিয়, দীর্ঘমেয়াদী ট্র্যাকিংয়ের জন্য ডিজাইন করা ESET সিস্টেমগুলি 2017 সালের শেষ থেকে Grandoreiro-কে পর্যবেক্ষণ করছে, সংস্করণ তথ্য, C&C সার্ভার, লক্ষ্য এবং 2020-এর শেষ থেকে, DGA কনফিগারেশনগুলি বের করছে৷
ডিজিএ ট্র্যাকিং
ডিজিএ কনফিগারেশনটি গ্র্যান্ডোরেইরো বাইনারিতে হার্ডকোড করা হয়েছে। প্রতিটি কনফিগারেশনকে একটি স্ট্রিং দ্বারা উল্লেখ করা যেতে পারে যা আমরা কল করি dga_id. DGA-এর জন্য বিভিন্ন কনফিগারেশন ব্যবহার করে বিভিন্ন ডোমেন পাওয়া যায়। আমরা পাঠ্যটিতে পরে ডিজিএ প্রক্রিয়ার আরও গভীরে ডুব দিই।
ESET মোট 105টি আলাদা আলাদা বের করেছে dga_ids আমাদের পরিচিত Grandoreiro নমুনা থেকে. এই কনফিগারেশনগুলির মধ্যে 79টি অন্তত একবার একটি ডোমেন তৈরি করেছে যা আমাদের ট্র্যাকিংয়ের সময় একটি সক্রিয় C&C সার্ভার আইপি ঠিকানায় সমাধান করেছে।
জেনারেট করা ডোমেনগুলি No-IP এর ডায়নামিক DNS পরিষেবা (DDNS) এর মাধ্যমে নিবন্ধিত হয়। গ্র্যান্ডোরেইরোর অপারেটররা ডিজিএ-র সাথে যোগাযোগ করতে এবং ইচ্ছামতো আইপি ঠিকানা পরিবর্তন করতে ঘন ঘন তাদের ডোমেন পরিবর্তন করতে পরিষেবাটির অপব্যবহার করে। এই ডোমেনগুলির বেশিরভাগ আইপি ঠিকানাগুলি ক্লাউড প্রদানকারীদের দ্বারা প্রদান করা হয়, প্রধানত AWS এবং Azure৷ সারণী 1 গ্র্যান্ডোরেইরো C&C সার্ভারের জন্য ব্যবহৃত IP ঠিকানা সম্পর্কে কিছু পরিসংখ্যান তুলে ধরে।
সারণি 1. আমরা আমাদের ট্র্যাকিং শুরু করার পর থেকে Grandoreiro C&C IP ঠিকানা সম্পর্কে পরিসংখ্যানগত তথ্য
তথ্য | গড় | নূন্যতম | সর্বাধিক |
প্রতিদিন নতুন C&C IP ঠিকানার সংখ্যা | 3 | 1 | 34 |
প্রতিদিন সক্রিয় C&C IP ঠিকানার সংখ্যা | 13 | 1 | 27 |
C&C IP ঠিকানার আয়ুষ্কাল (দিনে) | 5 | 1 | 425 |
আমরা জেনারেট করা ডোমেন এবং তাদের সম্পর্কিত আইপি ঠিকানাগুলি ট্র্যাক করা শুরু করার খুব শীঘ্রই, আমরা লক্ষ্য করতে শুরু করেছি যে বিভিন্ন কনফিগারেশন সহ ডিজিএ দ্বারা উত্পন্ন অনেক ডোমেন একই আইপি ঠিকানায় সমাধান করে (চিত্র 3-এ চিত্রিত)। এর মানে হল যে একটি নির্দিষ্ট দিনে, শিকার বিভিন্ন সঙ্গে Grandoreiro নমুনা দ্বারা আপস dga_id সব একই C&C সার্ভারের সাথে সংযুক্ত। এই ঘটনাটি কোন কাকতালীয় ছিল না - আমরা আমাদের ট্র্যাকিংয়ের সময় এটি প্রায় প্রতিদিনই পর্যবেক্ষণ করেছি।
অনেক বিরল অনুষ্ঠানে, আমরা একটি আইপি ঠিকানা অন্যের দ্বারা পুনঃব্যবহার করাও লক্ষ্য করেছি dga_id কয়েক দিন পরে. শুধুমাত্র এই সময়, গ্রান্ডোরেইরো একটি সংযোগ স্থাপনের জন্য ব্যবহৃত প্যারামিটারগুলি (পরে পাঠ্যে ব্যাখ্যা করা হয়েছে) পাশাপাশি পরিবর্তিত হয়েছে। এর মানে হল, ইতিমধ্যে, C&C সার্ভার সাইড অবশ্যই পুনরায় ইনস্টল বা পুনরায় কনফিগার করা হয়েছে।
আমাদের প্রাথমিক অনুমান ছিল যে dga_id প্রতিটি DGA কনফিগারেশনের জন্য অনন্য। এটি পরে ভুল প্রমাণিত হয়েছে - আমরা একই ভাগ করে নেওয়া বিভিন্ন কনফিগারেশনের দুটি সেট পর্যবেক্ষণ করেছি dga_id. সারণি 2 তাদের উভয়কেই দেখায়, “jjk” এবং “gh”, যেখানে “jjk” এবং “jjk(2)” দুটি ভিন্ন DGA কনফিগারেশনের সাথে মিলে যায়, যেমন “gh” এবং “gh(2)”।
সারণি 2 আমরা যে ক্লাস্টারগুলি পর্যবেক্ষণ করতে পেরেছিলাম তা দেখায়। সমস্ত ডিজিএ কনফিগারেশন যা অন্তত একটি আইপি ঠিকানা ভাগ করেছে একই ক্লাস্টারে এবং তাদের সাথে সম্পর্কিত dga_ids তালিকাভুক্ত করা হয়. যে ক্লাস্টারগুলি সমস্ত শিকারের 1% এরও কম সেগুলিকে উপেক্ষা করা হয়৷
সারণী 2. গ্র্যান্ডোরেইরো ডিজিএ ক্লাস্টার
ক্লাস্টার আইডি |
dga_id তালিকা |
ক্লাস্টার আকার |
সমস্ত C&C সার্ভারের % |
সব শিকারের % |
1 |
b, bbh, bbj, bbn, bhg, cfb, cm, cob, cwe, dee, dnv, dvg, dzr, E, eeo, eri, ess, fhg, fox, gh, gh(2), hjo, ika, jam , jjk, jjk(2), JKM, jpy, k, kcy, kWn, md7, md9, MRx, mtb, n, Nkk, nsw, nuu, occ, p, PCV, pif, rfg, rox3, s, sdd, sdg, sop, tkk, twr, tyj, u, ur4, vfg, vgy, vki, wtt, ykl, Z, zaf, zhf |
62 |
93.6% |
94% |
2 |
jl2, jly |
2 |
2.4% |
2.5% |
3 |
ibr |
1 |
0.8% |
1.6% |
4 |
JYY |
1 |
1.6% |
1.1% |
বৃহত্তম ক্লাস্টারে সমস্ত সক্রিয়ের 78% রয়েছে dga_ids এটি সমস্ত C&C সার্ভার আইপি ঠিকানাগুলির 93.6% এবং আমরা দেখেছি সমস্ত শিকারের 94% জন্য দায়ী৷ একমাত্র অন্য ক্লাস্টার যা 1 টির বেশি নিয়ে গঠিত dga_id ক্লাস্টার 2 হল।
কিছু সূত্র দাবি করুন যে Grandoreiro ম্যালওয়্যার-এ-সার্ভিস (MaaS) হিসাবে কাজ করে। Grandoreiro C&C সার্ভার ব্যাকএন্ড একযোগে একাধিক অপারেটরের একযোগে কার্যকলাপের অনুমতি দেয় না। সারণি 2-এর উপর ভিত্তি করে, ডিজিএ-উত্পাদিত আইপি ঠিকানাগুলির বিশাল সংখ্যাগরিষ্ঠতা কোনো স্পষ্ট বন্টন প্যাটার্ন ছাড়াই একসাথে ক্লাস্টার করা যেতে পারে। অবশেষে, নেটওয়ার্ক প্রোটোকলের ভারী ব্যান্ডউইথের প্রয়োজনীয়তাগুলি বিবেচনা করে (আমরা ব্লগপোস্টের শেষে এটিতে ডুব দিই), আমরা বিশ্বাস করি যে বিভিন্ন C&C সার্ভারগুলি একটি আদিম লোড-ব্যালেন্সিং সিস্টেম হিসাবে ব্যবহৃত হয় এবং এটি সম্ভবত গ্র্যান্ডোরেইরো দ্বারা পরিচালিত হয়। একক দল বা কয়েকটি গোষ্ঠী একে অপরের সাথে ঘনিষ্ঠভাবে সহযোগিতা করছে।
C&C ট্র্যাকিং
গ্র্যান্ডোরেইরো এর নেটওয়ার্ক প্রোটোকলের বাস্তবায়ন ইএসইটি গবেষকদের পর্দার আড়ালে উঁকি দিতে এবং শিকারবিদ্যার আভাস পেতে দেয়। Grandoreiro C&C সার্ভার সংযুক্ত ক্ষতিগ্রস্তদের সম্পর্কে তথ্য দেয় প্রাথমিক অনুরোধের সময় প্রতিটি নতুন সংযুক্ত শিকারের কাছে। এটি বলেছে, ডেটা অনুরোধের সংখ্যা, তাদের ব্যবধান এবং C&C সার্ভার দ্বারা প্রদত্ত ডেটার বৈধতা দ্বারা পক্ষপাতদুষ্ট।
Grandoreiro C&C সার্ভারের সাথে সংযুক্ত প্রতিটি শিকারকে একটি দ্বারা চিহ্নিত করা হয় লগইন_স্ট্রিং - একটি স্ট্রিং গ্র্যান্ডোরেইরো সংযোগ স্থাপনের পরে তৈরি করে। বিভিন্ন বিল্ড বিভিন্ন ফরম্যাট ব্যবহার করে এবং বিভিন্ন ফরম্যাটে বিভিন্ন তথ্য থাকে। আমরা থেকে প্রাপ্ত করা যেতে পারে যে তথ্য সংক্ষিপ্ত লগইন_স্ট্রিং সারণি 3-এ। ঘটনা কলামটি আমরা দেখেছি যে সমস্ত ফর্ম্যাটগুলির একটি শতাংশ দেখায় যা সংশ্লিষ্ট ধরণের তথ্য ধারণ করে।
সারণী 3. তথ্যের সংক্ষিপ্ত বিবরণ যা একজন গ্র্যান্ডোরিরোর শিকারের কাছ থেকে পাওয়া যেতে পারে লগইন_স্ট্রিং
তথ্য |
ঘটা |
বিবরণ |
অপারেটিং সিস্টেম |
100% |
শিকারের মেশিনের ওএস। |
কম্পিউটার নাম |
100% |
শিকারের মেশিনের নাম। |
দেশ |
100% |
Grandoreiro নমুনা যে দেশকে লক্ষ্য করে (ম্যালওয়্যার নমুনায় হার্ডকোড করা)। |
সংস্করণ |
100% |
সংস্করণ (সংস্করণ_স্ট্রিংগ্র্যান্ডোরেইরো নমুনার। |
ব্যাঙ্কের সাংকেতিক নাম |
92% |
ব্যাঙ্কের কোডনেম যেটি C&C সংযোগ চালু করেছে (Grandoreiro-এর ডেভেলপারদের দ্বারা নির্ধারিত)। |
আপটাইম |
25% |
সময় (ঘন্টায়) যে শিকারের মেশিন চলছে। |
পর্দা রেজল্যুশন |
8% |
শিকারের প্রধান মনিটরের স্ক্রীন রেজোলিউশন। |
ব্যবহারকারীর নাম |
8% |
শিকারের ব্যবহারকারীর নাম। |
তিনটি ক্ষেত্র একটি ঘনিষ্ঠ ব্যাখ্যা প্রাপ্য. দেশ হল উপযুক্ত পরিষেবার মাধ্যমে প্রাপ্ত তথ্যের পরিবর্তে Grandoreiro বাইনারিতে হার্ডকোড করা একটি স্ট্রিং। অতএব, এটি একটি মত আরো পরিবেশন করে অভিপ্রেত শিকারের দেশ।
ব্যাঙ্ক কোডনেম হল একটি নির্দিষ্ট ব্যাঙ্ক বা অন্যান্য আর্থিক প্রতিষ্ঠানের সাথে যুক্ত একটি স্ট্রিং গ্র্যান্ডোরিরোর ডেভেলপার। ভিকটিম সেই ব্যাঙ্কের ওয়েবসাইট ভিজিট করেছিল, যা C&C সংযোগ চালু করেছিল।
সার্জারির সংস্করণ_স্ট্রিং একটি নির্দিষ্ট গ্র্যান্ডোরেইরো বিল্ড সনাক্তকারী একটি স্ট্রিং। এটি ম্যালওয়্যারে হার্ডকোড করা হয় এবং একটি স্ট্রিং ধারণ করে যা একটি নির্দিষ্ট বিল্ড সিরিজ, একটি সংস্করণ (যা আমরা ইতিমধ্যে ভূমিকায় কথা বলেছি), এবং একটি টাইমস্ট্যাম্প সনাক্ত করে৷ সারণি 4 বিভিন্ন বিন্যাস এবং তাদের ধারণ করা তথ্য চিত্রিত করে। লক্ষ্য করুন যে কিছু টাইমস্ট্যাম্পে শুধুমাত্র মাস এবং দিন থাকে, অন্যগুলোতে বছরও থাকে।
টেবিল 4. বিভিন্ন তালিকা সংস্করণ_স্ট্রিং বিন্যাস এবং তাদের পার্সিং
সংস্করণ স্ট্রিং |
আইডি তৈরি করুন |
সংস্করণ |
টাইমস্ট্যাম্প |
ড্যানিলো |
ড্যানিলো |
N / A |
N / A |
(V37)(P1X)1207 |
P1X |
V37 |
12/07 |
(এমএক্স) 2006 |
MX |
N / A |
20/06 |
fox50.28102020 |
fox50 |
N / A |
28/10/2020 |
MADMX(পুনঃলোড)EMAIL2607 |
MADMX(রিলোড)ইমেল |
N / A |
26/07 |
কেউ বলতে প্রলুব্ধ হতে পারে যে বিল্ড আইডি আসলে অপারেটরকে সনাক্ত করে। যাইহোক, আমরা এটা মনে করি না. এই স্ট্রিংটির বিন্যাসটি খুব বিশৃঙ্খল, কখনও কখনও এটি শুধুমাত্র একটি মাসকে বোঝায় যেখানে সম্ভবত বাইনারি তৈরি করা হয়েছিল (যেমন (AGOSTO)2708) উপরন্তু, আমরা দৃঢ়ভাবে বিশ্বাস করি যে P1X Grandoreiro অপারেটর(গুলি) দ্বারা ব্যবহৃত একটি কনসোল বোঝায় যাকে বলা হয় পিক্সলগার.
C&C সার্ভার ট্র্যাকিং - ফলাফল
এই বিভাগে, আমরা C&C সার্ভারগুলি অনুসন্ধান করে যা পেয়েছি তার উপর ফোকাস করি। এই বিভাগে তালিকাভুক্ত সমস্ত পরিসংখ্যানগত ডেটা ESET টেলিমেট্রি থেকে নয়, সরাসরি Grandoreiro C&C সার্ভার থেকে প্রাপ্ত করা হয়েছে।
পুরানো নমুনা এখনও সক্রিয়
প্রতি লগইন_স্ট্রিং আমরা ধারণ করে পর্যবেক্ষণ করেছি সংস্করণ_স্ট্রিং এবং এর মধ্যে বেশিরভাগই টাইমস্ট্যাম্প তথ্য ধারণ করে (টেবিল 3 এবং টেবিল 4 দেখুন)। যদিও তাদের মধ্যে অনেকগুলি শুধুমাত্র দিন এবং মাস ধারণ করে, যেমনটি মাঝে মাঝে বিকাশকারীর পছন্দ বলে মনে হয়, প্রাচীনতম যোগাযোগের নমুনাটি টাইমস্ট্যাম্প করা হয়েছিল 15/09/2020 - যে সময় থেকে এই ডিজিএ প্রথম গ্র্যান্ডোরেইরোর সাথে পরিচিত হয়েছিল। সবচেয়ে সাম্প্রতিক নমুনা ছিল টাইমস্ট্যাম্প 12/23/2023.
অপারেটিং সিস্টেম বিতরণ
যেহেতু সব লগইন_স্ট্রিং ফরম্যাটে OS তথ্য রয়েছে, আমরা চিত্র 4-এ যেমন দেখানো হয়েছে অপারেটিং সিস্টেম কী শিকার হয়েছে তার একটি সঠিক ছবি আঁকতে পারি।
(উদ্দেশ্য) দেশ বন্টন
আমরা ইতিমধ্যে উল্লেখ করেছি যে গ্র্যান্ডোরেইরো শিকারের দেশ পাওয়ার জন্য একটি পরিষেবা অনুসন্ধান করার পরিবর্তে একটি হার্ডকোডেড মান ব্যবহার করে। চিত্র 5 আমরা পর্যবেক্ষণ করেছি যে বিতরণ দেখায়.
এই বন্টন Grandoreiro প্রত্যাশিত হয়. মজার বিষয় হল, এটি চিত্র 1-এ চিত্রিত হিটম্যাপের সাথে সম্পর্কযুক্ত নয়। সবচেয়ে যৌক্তিক ব্যাখ্যা হল যে বিল্ডগুলি তাদের অভিপ্রেত লক্ষ্যগুলির অনুরূপ করার জন্য সঠিকভাবে চিহ্নিত করা হয়নি। উদাহরণস্বরূপ, আর্জেন্টিনায় আক্রমণ বৃদ্ধি হার্ডকোড মার্কিং দ্বারা প্রতিফলিত হয় না। সমস্ত শিকারের প্রায় 41% ব্রাজিল, তারপরে মেক্সিকো 30% এবং স্পেনের 28%। আর্জেন্টিনা, পর্তুগাল এবং পেরু 1% এর কম। মজার বিষয় হল, আমরা কয়েক (10 টিরও কম) শিকার হিসাবে চিহ্নিত দেখেছি৷ PM (সেন্ট পিয়ের এবং মিকেলন), GR (গ্রীস), বা FR (ফ্রান্স). আমরা বিশ্বাস করি যে সেগুলি হয় টাইপো বা সেই দেশগুলিকে লক্ষ্য করার পরিবর্তে অন্য অর্থ রয়েছে৷
এছাড়াও যে সময় নোট গ্র্যান্ডোরেইরো লাতিন আমেরিকার বাইরের অনেক দেশ থেকে লক্ষ্য যোগ করেছে 2020 সালের প্রথম দিকে, আমরা সেই দেশগুলিকে লক্ষ্য করে কয়েকটি প্রচারণা লক্ষ্য করেছি এবং চিত্র 5 এটি সমর্থন করে।
আক্রান্তের সংখ্যা
আমরা লক্ষ্য করেছি যে এক দিনে সংযুক্ত শিকারের গড় সংখ্যা 563। তবে, এই সংখ্যাটি অবশ্যই ডুপ্লিকেট ধারণ করে, কারণ যদি একজন শিকার দীর্ঘ সময়ের জন্য সংযুক্ত থাকে, যা আমরা লক্ষ্য করেছি প্রায়শই হয়, তাহলে গ্র্যান্ডোরেইরো সিএন্ডসি সার্ভার একাধিক অনুরোধে এটি রিপোর্ট করবে।
এই সমস্যাটি সমাধান করার চেষ্টা করে, আমরা একটি সংজ্ঞায়িত করেছি অনন্য যেগুলি পরিবর্তনের সাপেক্ষে (যেমন আপটাইম) বাদ দেওয়ার সময় সনাক্তকরণ বৈশিষ্ট্যগুলির একটি অনন্য সেট (যেমন কম্পিউটারের নাম, ব্যবহারকারীর নাম, ইত্যাদি) সহ শিকার। এর সাথে, আমরা 551 দিয়ে শেষ করেছি অনন্য ভুক্তভোগীরা গড়ে এক দিনে সংযুক্ত।
এক বছরেরও বেশি সময় ধরে ক্রমাগত সিএন্ডসি সার্ভারের সাথে সংযোগকারী ভুক্তভোগীদের আমরা পর্যবেক্ষণ করেছি, আমরা গড় সংখ্যা গণনা করেছি 114 নতুন অনন্য প্রতি দিন C&C সার্ভারের সাথে সংযোগকারী শিকার। আমরা উপেক্ষা করে এই নম্বরে এসেছি অনন্য শিকার যা আমরা ইতিমধ্যে পর্যবেক্ষণ করেছি।
গ্র্যান্ডোরেইরো ইন্টারনাল
আসুন আমরা গভীরভাবে, গ্র্যান্ডোরেইরোর দুটি সবচেয়ে গুরুত্বপূর্ণ বৈশিষ্ট্যের উপর ফোকাস করি: ডিজিএ এবং নেটওয়ার্ক প্রোটোকল।
DGA
Grandoreiro-এর অপারেটররা বছরের পর বছর ধরে বিভিন্ন ধরনের DGA প্রয়োগ করেছে, সবচেয়ে সাম্প্রতিকটি জুলাই 2020-এ প্রদর্শিত হয়েছে। যদিও আমরা কয়েকটি ছোটখাটো পরিবর্তন লক্ষ্য করেছি, তখন থেকে অ্যালগরিদমের মূল পরিবর্তন হয়নি।
ডিজিএ একটি নির্দিষ্ট কনফিগারেশন ব্যবহার করে যা বাইনারিতে হার্ডকোড করা হয়, একাধিক স্ট্রিং হিসাবে সংরক্ষণ করা হয়। চিত্র 6 এমন একটি কনফিগারেশন প্রদর্শন করে (সহ dga_id "bbj"), আরও ভাল পঠনযোগ্যতার জন্য JSON-এ পুনরায় ফর্ম্যাট করা হয়েছে৷
বিস্তৃত ক্ষেত্রে, base_domain ক্ষেত্র হয় freedynamicdns.org or zapto.org. ইতিমধ্যে উল্লিখিত হিসাবে, Grandoreiro তার ডোমেন নিবন্ধনের জন্য No-IP ব্যবহার করে। দ্য base64_alpha ক্ষেত্রটি DGA ব্যবহার করে কাস্টম base64 বর্ণমালার সাথে মিলে যায়। দ্য মাস_প্রতিস্থাপন একটি অক্ষরের জন্য একটি মাসের সংখ্যা প্রতিস্থাপন করতে ব্যবহৃত হয়।
সার্জারির dga_টেবিল কনফিগারেশনের প্রধান অংশ গঠন করে। এটি 12টি স্ট্রিং নিয়ে গঠিত, প্রতিটিতে | দ্বারা সীমাবদ্ধ 35টি ক্ষেত্র রয়েছে৷ প্রতিটি লাইনের প্রথম এন্ট্রি হল dga_id. দ্বিতীয় এবং শেষ এন্ট্রিটি সেই মাসের প্রতিনিধিত্ব করে যার জন্য লাইনটি উদ্দেশ্যে করা হয়েছে৷ অবশিষ্ট 32টি ক্ষেত্র প্রতিটি মাসের একটি ভিন্ন দিনের জন্য একটি মান উপস্থাপন করে (অন্তত একটি ক্ষেত্র অব্যবহৃত রেখে)।
DGA এর যুক্তি চিত্র 7 এ দেখানো হয়েছে। অ্যালগরিদম প্রথমে সঠিক লাইন এবং সঠিক এন্ট্রি নির্বাচন করে, এটিকে একটি চার-বাইট কী হিসাবে বিবেচনা করে। এটি তখন বর্তমান তারিখটিকে একটি স্ট্রিংয়ে ফর্ম্যাট করে এবং একটি সাধারণ XOR ব্যবহার করে কী দিয়ে এনক্রিপ্ট করে। এটি তারপর prepends dga_id ফলাফলে, একটি কাস্টম বর্ণমালার সাথে base64 ব্যবহার করে ফলাফলকে এনকোড করে, এবং তারপর যেকোনো = প্যাডিং অক্ষর সরিয়ে দেয়। চূড়ান্ত ফলাফল হল সাবডোমেন যা একসাথে base_domain, বর্তমান দিনের জন্য C&C সার্ভার হিসাবে ব্যবহার করা হবে। লাল রঙে হাইলাইট করা অংশটি একটি ব্যর্থ নিরাপদ প্রক্রিয়া এবং আমরা এটি পরবর্তী আলোচনা করব।
গ্র্যান্ডোরেইরো কিছু বিল্ডে, যখন প্রধান ডোমেন সমাধান করতে ব্যর্থ হয় তার জন্য একটি ব্যর্থ নিরাপদ প্রক্রিয়া প্রয়োগ করেছে। এই প্রক্রিয়াটি সমস্ত বিল্ডে উপস্থিত নয় এবং এর যুক্তি কয়েকবার পরিবর্তিত হয়েছে, তবে মৌলিক ধারণাটি চিত্র 7 এ চিত্রিত করা হয়েছে। এটি এমন একটি কনফিগারেশন ব্যবহার করে যা আমরা বিশ্লেষণ করা নমুনাগুলিতে ধ্রুবক এবং চিত্রে দেখানো সাধারণ কোড দ্বারা তৈরি করা যেতে পারে। 8. প্রতিটি এন্ট্রিতে একটি কী, একটি উপসর্গ এবং একটি বেস ডোমেন থাকে।
ফেইলসেফ অ্যালগরিদম প্রধান C&C সাবডোমেনের একটি অংশ নেয়। এটি তারপরে সমস্ত কনফিগারেশন এন্ট্রিতে পুনরাবৃত্তি করে, XOR ব্যবহার করে এটিকে এনক্রিপ্ট করে এবং প্রধান অ্যালগরিদম অংশের অনুরূপ একটি উপসর্গ প্রিপেন্ড করে।
2022 সালের সেপ্টেম্বর থেকে, আমরা নমুনাগুলি পর্যবেক্ষণ করতে শুরু করেছি যা সামান্য পরিবর্তিত ডিজিএ ব্যবহার করে। অ্যালগরিদমটি প্রায় অভিন্ন, তবে চূড়ান্ত ধাপে সাবডোমেনটিকে বেস64 এনকোড করার পরিবর্তে, এটির সাথে একটি হার্ডকোড করা উপসর্গ যুক্ত করা হয়। আমাদের ট্র্যাকিংয়ের উপর ভিত্তি করে, এই পদ্ধতিটি প্রায় জুলাই 2023 থেকে প্রভাবশালী হয়ে উঠেছে।
নেটওয়ার্ক প্রোটোকল
গ্র্যান্ডোরেইরো RTC পোর্টাল ব্যবহার করে, ডেলফি উপাদানগুলির একটি সেট RealThinClient SDK যা HTTP(S) এর উপরে নির্মিত। আরটিসি পোর্টাল ছিল 2017 সালে বন্ধ এবং এর সোর্স কোড প্রকাশিত হয়েছে GitHub. মূলত, RTC পোর্টাল এক বা একাধিক কন্ট্রোলকে দূরবর্তীভাবে এক বা একাধিক হোস্ট অ্যাক্সেস করার অনুমতি দেয়। হোস্ট এবং নিয়ন্ত্রণ গেটওয়ে নামক একটি মধ্যস্থতাকারী উপাদান দ্বারা পৃথক করা হয়।
Grandoreiro অপারেটররা একটি কনসোল ব্যবহার করে (নিয়ন্ত্রণ হিসাবে কাজ করে) C&C সার্ভারের সাথে সংযোগ করতে (গেটওয়ে হিসাবে কাজ করে) এবং আপস করা মেশিনগুলির সাথে যোগাযোগ করতে (হোস্ট হিসাবে কাজ করে)। গেটওয়েতে সংযোগ করতে, তিনটি পরামিতি প্রয়োজন: একটি গোপন কী, কী দৈর্ঘ্য এবং একটি লগইন৷
গোপন কী সার্ভারে পাঠানো প্রাথমিক অনুরোধ এনক্রিপ্ট করতে ব্যবহার করা হয়। অতএব, সার্ভারের গোপন কীটিও জানতে হবে যাতে প্রাথমিক ক্লায়েন্ট অনুরোধটি ডিক্রিপ্ট করা যায়।
কী দৈর্ঘ্য হ্যান্ডশেকের সময় ট্রাফিক এনক্রিপ্ট করার জন্য কীগুলির দৈর্ঘ্য নির্ধারণ করে। ট্রাফিক একটি কাস্টম স্ট্রিম সাইফার ব্যবহার করে এনক্রিপ্ট করা হয়. দুটি ভিন্ন কী স্থাপন করা হয়েছে - একটি ইনবাউন্ডের জন্য এবং একটি আউটবাউন্ড ট্রাফিকের জন্য৷
লগইন যেকোনো স্ট্রিং হতে পারে। গেটওয়ের প্রতিটি সংযুক্ত উপাদানের জন্য একটি অনন্য লগইন প্রয়োজন।
Grandoreiro গোপন কী এবং কী দৈর্ঘ্যের মানগুলির দুটি ভিন্ন সংমিশ্রণ ব্যবহার করে, সবসময় বাইনারিতে হার্ডকোড করা হয় এবং আমরা ইতিমধ্যে আলোচনা করেছি লগইন_স্ট্রিং যেটি লগইন হিসাবে ব্যবহৃত হয়।
RTC ডকুমেন্টেশন বলে যে এটি একবারে সীমিত সংখ্যক সংযোগ পরিচালনা করতে পারে। প্রতিটি সংযুক্ত হোস্টকে প্রতি সেকেন্ডে কমপক্ষে একটি অনুরোধ পাঠাতে হবে তা বিবেচনা করে অন্যথায় এর সংযোগ বাদ দেওয়া হবে, আমরা বিশ্বাস করি যে গ্র্যান্ডোরেইরো একাধিক C&C সার্ভার ব্যবহার করার কারণ হল তাদের একটিকে আবিষ্ট না করার একটি প্রচেষ্টা।
উপসংহার
এই ব্লগপোস্টে, আমরা গ্র্যান্ডোরেইরোর আমাদের দীর্ঘমেয়াদী ট্র্যাকিংয়ের পর্দার পিছনে একটি উঁকি দিয়েছি যা এই ব্যাঘাতের অপারেশনকে সম্ভব করতে সাহায্য করেছে। আমরা গভীরভাবে বর্ণনা করেছি কিভাবে Grandoreiro এর DGA কাজ করে, কতগুলো ভিন্ন কনফিগারেশন একই সাথে বিদ্যমান, এবং কিভাবে আমরা তাদের মধ্যে অনেক IP ঠিকানা ওভারল্যাপ দেখতে সক্ষম হয়েছি।
আমরা C&C সার্ভার থেকে প্রাপ্ত পরিসংখ্যানগত তথ্যও প্রদান করেছি। এই তথ্য নির্যাতিতাবিদ্যা এবং টার্গেটিং এর একটি চমৎকার ওভারভিউ প্রদান করে, পাশাপাশি আমাদের প্রভাবের প্রকৃত স্তর দেখতে দেয়।
ব্রাজিলের ফেডারেল পুলিশের নেতৃত্বে বিঘ্নিত অভিযান এমন ব্যক্তিদের লক্ষ্য করে যারা গ্র্যান্ডোরেইরো অপারেশন ক্রমানুসারে উচ্চতর বলে মনে করা হয়। ESET ট্র্যাক করতে থাকবে অন্যান্য ল্যাটিন আমেরিকান ব্যাংকিং ট্রোজান এই বিঘ্নিত অপারেশনের পরে যেকোন গ্র্যান্ডোরেইরো কার্যকলাপের জন্য ঘনিষ্ঠভাবে পর্যবেক্ষণ করার সময়।
WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.
আইওসি
নথি পত্র
রয়েছে SHA-1 |
ফাইলের নাম |
সনাক্তকরণ |
বিবরণ |
FB32344292AB36080F2D040294F17D39F8B4F3A8 |
Notif.FEL.RHKVYIIPFVBCGQJPOQÃ.msi |
Win32/Spy.Grandoreiro.DB |
MSI ডাউনলোডার |
08C7453BD36DE1B9E0D921D45AEF6D393659FDF5 |
RYCB79H7B-7DVH76Y3-67DVHC6T20-CH377DFHVO-6264704.msi |
Win32/Spy.Grandoreiro.DB |
MSI ডাউনলোডার |
A99A72D323AB5911ADA7762FBC725665AE01FDF9 |
pcre.dll |
Win32/Spy.Grandoreiro.BM |
গ্র্যান্ডোরেইরো |
4CDF7883C8A0A83EB381E935CD95A288505AA8B8 |
iconv.dll |
Win32/Spy.Grandoreiro.BM |
গ্র্যান্ডোরেইরো (বাইনারী প্যাডিং সহ) |
নেটওয়ার্ক
IP |
ডোমেইন |
হোস্টিং প্রদানকারী |
প্রথম দেখা |
বিস্তারিত |
20.237.166[।]161 |
ডিজিএ-উত্পন্ন |
নভোনীল |
2024-01‑12 |
C&C সার্ভার। |
20.120.249[।]43 |
ডিজিএ-উত্পন্ন |
নভোনীল |
2024-01‑16 |
C&C সার্ভার। |
52.161.154[।]239 |
ডিজিএ-উত্পন্ন |
নভোনীল |
2024-01‑18 |
C&C সার্ভার। |
167.114.138[।]249 |
ডিজিএ-উত্পন্ন |
OVH |
2024-01‑02 |
C&C সার্ভার। |
66.70.160[।]251 |
ডিজিএ-উত্পন্ন |
OVH |
2024-01‑05 |
C&C সার্ভার। |
167.114.4[।]175 |
ডিজিএ-উত্পন্ন |
OVH |
2024-01‑09 |
C&C সার্ভার। |
18.215.238[।]53 |
ডিজিএ-উত্পন্ন |
ডেস্কটপ AWS |
2024-01‑03 |
C&C সার্ভার। |
54.219.169[।]167 |
ডিজিএ-উত্পন্ন |
ডেস্কটপ AWS |
2024-01‑09 |
C&C সার্ভার। |
3.144.135[।]247 |
ডিজিএ-উত্পন্ন |
ডেস্কটপ AWS |
2024-01‑12 |
C&C সার্ভার। |
77.246.96[।]204 |
ডিজিএ-উত্পন্ন |
ভিডিসিনা |
2024-01‑11 |
C&C সার্ভার। |
185.228.72[।]38 |
ডিজিএ-উত্পন্ন |
মাস্টার দা ওয়েব |
2024-01‑02 |
C&C সার্ভার। |
62.84.100[।]225 |
N / A |
ভিডিসিনা |
2024-01‑18 |
বিতরণ সার্ভার। |
20.151.89[।]252 |
N / A |
নভোনীল |
2024-01‑10 |
বিতরণ সার্ভার। |
মিটার ATT এবং CK কৌশল
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 14 সংস্করণ মিটার ATT এবং CK কাঠামোর।
যুদ্ধকৌশল |
ID |
নাম |
বিবরণ |
রিসোর্স ডেভলপমেন্ট |
সক্ষমতা বিকাশ: ম্যালওয়্যার |
Grandoreiro বিকাশকারীরা তাদের নিজস্ব কাস্টম ডাউনলোডার তৈরি করে। |
|
প্রাথমিক অ্যাক্সেস |
ফিশিং |
Grandoreiro ফিশিং ইমেল মাধ্যমে ছড়িয়ে. |
|
ফাঁসি |
ইউজার এক্সিকিউশন: ক্ষতিকারক ফাইল |
গ্র্যান্ডোরেইরো ভুক্তভোগীদেরকে ফিশিং সংযুক্তি ম্যানুয়ালি কার্যকর করার জন্য চাপ দেয়। |
|
অধ্যবসায় |
বুট বা লগইন অটোস্টার্ট এক্সিকিউশন: রেজিস্ট্রি রান কী/স্টার্টআপ ফোল্ডার |
গ্র্যান্ডোরেইরো অধ্যবসায়ের জন্য স্ট্যান্ডার্ড অটোস্টার্ট অবস্থানগুলি ব্যবহার করে। |
|
হাইজ্যাক এক্সিকিউশন ফ্লো: DLL সার্চ অর্ডার হাইজ্যাকিং |
গ্র্যান্ডোরেইরো ডিএলএল অনুসন্ধান আদেশের সাথে আপস করে মৃত্যুদন্ড কার্যকর করা হয়। |
||
প্রতিরক্ষা ফাঁকি |
Deobfuscate/ডিকোড ফাইল বা তথ্য |
Grandoreiro প্রায়ই পাসওয়ার্ড-সুরক্ষিত ZIP সংরক্ষণাগারে বিতরণ করা হয়। |
|
অস্পষ্ট ফাইল বা তথ্য: বাইনারি প্যাডিং |
Grandoreiro EXEs বড় করা হয়েছে ব্যবহৃত .rsrc বড় BMP ছবি সহ বিভাগ। |
||
সিস্টেম বাইনারি প্রক্সি এক্সিকিউশন: Msiexec |
Grandoreiro ডাউনলোডারগুলি MSI ইনস্টলারগুলির মধ্যে বান্ডিল করা হয়৷ |
||
রেজিস্ট্রি পরিবর্তন করুন |
Grandoreiro এর কনফিগারেশন ডেটার কিছু অংশ Windows রেজিস্ট্রিতে সঞ্চয় করে। |
||
আবিষ্কার |
অ্যাপ্লিকেশন উইন্ডো আবিষ্কার |
Grandoreiro উইন্ডোর নামের উপর ভিত্তি করে অনলাইন ব্যাংকিং ওয়েবসাইট আবিষ্কার করে। |
|
প্রক্রিয়া আবিষ্কার |
গ্র্যান্ডোরেইরো প্রক্রিয়ার নামের উপর ভিত্তি করে নিরাপত্তা সরঞ্জাম আবিষ্কার করে। |
||
সফ্টওয়্যার আবিষ্কার: নিরাপত্তা সফ্টওয়্যার আবিষ্কার |
Grandoreiro ব্যাঙ্কিং সুরক্ষা পণ্য উপস্থিতি সনাক্ত. |
||
সিস্টেম তথ্য আবিষ্কার |
Grandoreiro শিকার এর মেশিন সম্পর্কে তথ্য সংগ্রহ, যেমন %কম্পিউটার নাম% এবং অপারেটিং সিস্টেম। |
||
সংগ্রহ |
ইনপুট ক্যাপচার: GUI ইনপুট ক্যাপচার |
Grandoreiro জাল পপ আপ প্রদর্শন এবং তাদের মধ্যে টাইপ করা পাঠ্য ক্যাপচার করতে পারেন. |
|
ইনপুট ক্যাপচার: কীলগিং |
Grandoreiro কীস্ট্রোক ক্যাপচার করতে সক্ষম। |
||
ইমেল সংগ্রহ: স্থানীয় ইমেল সংগ্রহ |
Grandoreiro-এর অপারেটররা Outlook থেকে ইমেল ঠিকানা বের করার জন্য একটি টুল তৈরি করেছে। |
||
কমান্ড এবং কন্ট্রোল |
ডেটা এনকোডিং: নন-স্ট্যান্ডার্ড এনকোডিং |
Grandoreiro RTC ব্যবহার করে, যা একটি কাস্টম স্ট্রিম সাইফার দিয়ে ডেটা এনক্রিপ্ট করে। |
|
ডায়নামিক রেজোলিউশন: ডোমেন জেনারেশন অ্যালগরিদম |
Grandoreiro C&C সার্ভার ঠিকানাগুলি পেতে শুধুমাত্র DGA-এর উপর নির্ভর করে। |
||
এনক্রিপ্ট করা চ্যানেল: সিমেট্রিক ক্রিপ্টোগ্রাফি |
RTC-তে, এনক্রিপশন এবং ডিক্রিপশন একই কী ব্যবহার করে করা হয়। |
||
নন-স্ট্যান্ডার্ড পোর্ট |
Grandoreiro প্রায়ই বিতরণের জন্য অ-মানক পোর্ট ব্যবহার করে। |
||
অ্যাপ্লিকেশন লেয়ার প্রোটোকল |
RTC HTTP(S) এর উপরে নির্মিত। |
||
বহিষ্কার |
C2 চ্যানেল ওভার এক্সফিল্ট্রেশন |
Grandoreiro তার C&C সার্ভারে ডেটা বের করে দেয়। |
|
প্রভাব |
সিস্টেম শাটডাউন/রিবুট |
Grandoreiro একটি সিস্টেম রিবুট জোর করতে পারে. |
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan/
- : আছে
- : হয়
- :না
- :কোথায়
- [পৃ
- $ ইউপি
- 1
- 10
- 114
- 12
- 120
- 160
- 179
- 180
- 2017
- 2019
- 2020
- 2022
- 2023
- 237
- 32
- 35%
- 40
- 7
- 70
- 8
- 84
- 89
- 97
- a
- সক্ষম
- সম্পর্কে
- অপব্যবহার
- নির্যাতিত
- গ্রহণ
- প্রবেশ
- হিসাব
- অ্যাকাউন্টস
- সঠিক
- অভিনয়
- সক্রিয়
- কার্যকলাপ
- আসল
- প্রকৃতপক্ষে
- যোগ
- উপরন্তু
- ঠিকানা
- ঠিকানাগুলি
- পর
- উপলক্ষিত
- লক্ষ্য
- অ্যালগরিদম
- সব
- অনুমতি
- অনুমতি
- অনুমতি
- অনুমতি
- প্রায়
- বর্ণমালা
- ইতিমধ্যে
- এছাড়াও
- সর্বদা
- মার্কিন
- মধ্যে
- an
- বিশ্লেষণ
- বিশ্লেষণ
- এবং
- অন্য
- কোন
- যথাযথ
- আন্দাজ
- APT
- সংরক্ষাণাগার
- নথিপত্র
- রয়েছি
- আর্জিণ্টিনা
- কাছাকাছি
- AS
- নির্ধারিত
- সাহায্য
- যুক্ত
- ধৃষ্টতা
- At
- আক্রমন
- প্রয়াস
- অটোমেটেড
- গড়
- দূরে
- ডেস্কটপ AWS
- নভোনীল
- ব্যাক-এন্ড
- ব্যান্ডউইথ
- ব্যাংক
- ব্যাংকিং
- ভিত্তি
- ভিত্তি
- মৌলিক
- ভিত্তি
- BE
- কারণ
- পরিণত
- হয়েছে
- আগে
- শুরু হয়
- পিছনে
- হচ্ছে
- বিশ্বাস করা
- বিশ্বাস
- জন্যে
- ব্যতীত
- উত্তম
- মধ্যে
- bhg
- পক্ষপাতদুষ্ট
- বৃহত্তম
- উভয়
- বটনেট
- ব্রাজিল
- ব্রাউজার
- নির্মাণ করা
- তৈরী করে
- নির্মিত
- বান্ডেল
- কিন্তু
- by
- গণিত
- কল
- নামক
- মাংস
- প্রচারাভিযান
- CAN
- ক্ষমতা
- সক্ষম
- গ্রেপ্তার
- ক্যাপচার
- কেস
- মামলা
- কিছু
- অবশ্যই
- পরিবর্তন
- পরিবর্তিত
- পরিবর্তন
- পরিবর্তন
- চ্যানেল
- চরিত্র
- বৈশিষ্ট্য
- অক্ষর
- পছন্দ
- গোল্লা
- দাবি
- পরিষ্কার
- মক্কেল
- ঘনিষ্ঠভাবে
- কাছাকাছি
- মেঘ
- গুচ্ছ
- কোড
- কোডগুলি
- সমাপতন, সমস্থানে অবস্থান
- সহযোগিতা
- সংগ্রহ
- সংগ্রহ
- স্তম্ভ
- এর COM
- সমন্বয়
- যোগাযোগ
- জ্ঞাপক
- যোগাযোগ
- সম্পূর্ণরূপে
- উপাদান
- উপাদান
- সংকটাপন্ন
- সন্দেহজনক
- গণনা
- কম্পিউটার
- শেষ করা
- কনফিগারেশন
- সংযোগ করা
- সংযুক্ত
- সংযোজক
- সংযোগ
- সংযোগ
- বিবেচনা করা
- গঠিত
- গঠিত
- কনসোল
- ধ্রুব
- প্রতিনিয়ত
- যোগাযোগ
- ধারণ করা
- ধারণ
- অবিরত
- অব্যাহত
- অবদান রেখেছে
- নিয়ন্ত্রণ
- নিয়ন্ত্রণগুলি
- সহযোগী
- মূল
- ঠিক
- অনুরূপ
- অনুরূপ
- দেশ
- দেশ
- পথ
- কঠোর
- বর্তমান
- পরদা
- প্রথা
- DA
- দৈনিক
- উপাত্ত
- তারিখ
- দিন
- দিন
- ডিডিএনএস
- সিদ্ধান্ত নিয়েছে
- ডিক্রিপ্ট করুন
- গভীর
- সংজ্ঞায়িত
- ডেল্ফী
- প্রদর্শন
- গভীরতা
- বর্ণিত
- প্রাপ্য
- নকশা
- পরিকল্পিত
- সনাক্তকরণ
- নির্ধারণ করে
- বিকাশ
- উন্নত
- ডেভেলপারদের
- উন্নয়ন
- বিভিন্ন
- কঠিন
- সরাসরি
- আবিষ্কার
- আবিষ্কার
- আলোচনা করা
- আলোচনা
- প্রদর্শন
- প্রদর্শন
- উপেক্ষা করা
- চূর্ণবিচূর্ণ করা
- ভাঙ্গন
- পার্থক্য
- বণ্টিত
- বিতরণ
- ডুব
- DNS
- ডকুমেন্টেশন
- না
- ডোমেইন
- DOMAIN নাম
- ডোমেইনের
- প্রভাবশালী
- সম্পন্ন
- Dont
- ড্রপ
- বাদ
- কারণে
- সদৃশ
- সময়
- প্রগতিশীল
- e
- প্রতি
- গোড়ার দিকে
- পারেন
- আর
- ইমেইল
- ইমেল
- এনকোডিং
- সঙ্কেতায়িত করুন
- এনক্রিপ্ট করা
- এনক্রিপশন
- শেষ
- শেষ
- প্রয়োগকারী
- প্রবেশ
- মূলত
- স্থাপন করা
- প্রতিষ্ঠিত
- প্রতিষ্ঠার
- ইত্যাদি
- এমন কি
- কখনো
- প্রতি
- উদাহরণ
- চমত্কার
- এক্সিকিউট
- নিষ্পন্ন
- ফাঁসি
- থাকা
- প্রত্যাশিত
- ব্যাখ্যা
- ব্যাখ্যা
- নির্যাস
- ব্যর্থ
- নকল
- পরিবারের
- বৈশিষ্ট্য
- বৈশিষ্ট্য
- ফেব্রুয়ারি
- যুক্তরাষ্ট্রীয়
- ফেডারেল পুলিশ
- কয়েক
- কম
- ক্ষেত্র
- ক্ষেত্রসমূহ
- ব্যক্তিত্ব
- নথি পত্র
- চূড়ান্ত
- পরিশেষে
- আর্থিক
- আর্থিক প্রতিষ্ঠান
- আবিষ্কার
- প্রথম
- ত্রুটি
- প্রবাহ
- কেন্দ্রবিন্দু
- অনুসৃত
- অনুসরণ
- জন্য
- বল
- বিন্যাস
- ফর্ম
- পাওয়া
- চার
- শিয়াল
- ফ্রেমওয়ার্ক
- ফ্রান্স
- ঘনঘন
- থেকে
- কার্যকারিতা
- কার্যকরী
- অধিকতর
- ফাঁক
- প্রবেশপথ
- উত্পন্ন
- প্রজন্ম
- উত্পাদক
- পাওয়া
- দাও
- প্রদত্ত
- আভাস
- বিশ্বব্যাপী
- গ্রীস
- গ্রুপ
- গ্রুপের
- ছিল
- হাতল
- আছে
- ভারী
- সাহায্য
- অত: পর
- যাজকতন্ত্র
- উচ্চ
- হাইলাইট করা
- ইতিহাস
- রাখা
- ঝুলিতে
- নিমন্ত্রণকর্তা
- হোস্ট
- ঘন্টার
- কিভাবে
- কিভাবে
- যাহোক
- HTTP
- HTTPS দ্বারা
- ID
- ধারণা
- অভিন্ন
- চিহ্নিত
- আইডেন্টিফায়ার
- শনাক্ত
- চিহ্নিতকরণের
- if
- প্রকাশ
- ভাবমূর্তি
- চিত্র
- প্রভাব
- বাস্তবায়ন
- বাস্তবায়িত
- in
- ত্রুটিপূর্ণ
- বৃদ্ধি
- ব্যক্তি
- তথ্য
- পরিকাঠামো
- প্রারম্ভিক
- initiates
- ইনপুট
- অনুসন্ধান
- ভিতরে
- পরিবর্তে
- প্রতিষ্ঠান
- বুদ্ধিমত্তা
- অভিপ্রেত
- গর্ভনাটিকা
- মধ্যে
- উপস্থাপিত
- ভূমিকা
- তদন্ত
- IP
- আইপি ঠিকানা
- আইপি ঠিকানা
- সমস্যা
- সমস্যা
- IT
- এর
- জানুয়ারী
- জাপানি ইয়েন
- JSON
- জুলাই
- জুন
- রাখা
- চাবি
- কী
- রকম
- ধরণের
- জানা
- পরিচিত
- জানে
- বড়
- গত
- পরে
- ল্যাটিন
- ল্যাটিন আমেরিকান
- আইন
- আইন প্রয়োগকারী
- স্তর
- অন্তত
- ছোড়
- বরফ
- লম্বা
- কম
- উচ্চতা
- মত
- সম্ভবত
- সীমিত
- লাইন
- তালিকা
- তালিকাভুক্ত
- স্থানীয়
- অবস্থানগুলি
- যুক্তিবিদ্যা
- যৌক্তিক
- লগইন
- দীর্ঘ
- অনেকক্ষণ
- দীর্ঘ মেয়াদী
- দেখুন
- অনেক
- মেশিন
- মেশিন
- প্রধান
- প্রধানত
- সংখ্যাগুরু
- করা
- মেকিং
- বিদ্বেষপরায়ণ
- ম্যালওয়্যার
- ম্যালওয়্যার-এ-সার্ভিস (MaaS)
- ম্যানুয়ালি
- অনেক
- মার্চ
- চিহ্নিত
- অবস্থানসূচক
- ব্যাপক
- ম্যাচ
- মে..
- অর্থ
- মানে
- ইতিমধ্যে
- পদ্ধতি
- উল্লিখিত
- পদ্ধতি
- মেক্সিকো
- গৌণ
- পরিবর্তিত
- টাকা
- মনিটর
- পর্যবেক্ষণ
- মনিটর
- মাস
- অধিক
- সেতু
- মাউস
- MSI
- অনেক
- বহু
- অবশ্যই
- MX
- নাম
- নাম
- চাহিদা
- নেটওয়ার্ক
- নতুন
- সদ্য
- পরবর্তী
- না।
- বিঃদ্রঃ
- লক্ষ্য করুন..
- সংখ্যা
- মান্য করা
- বিলোকিত
- প্রাপ্ত
- প্রাপ্ত
- সুস্পষ্ট
- OCC '
- অনুষ্ঠান
- ঘটা
- অক্টোবর
- of
- অর্পণ
- অফার
- প্রায়ই
- পুরোনো
- প্রবীণতম
- on
- একদা
- ONE
- অনলাইন
- অনলাইন ব্যাংকিং
- কেবল
- চিরা
- পরিচালনা
- অপারেটিং
- অপারেটিং সিস্টেম
- অপারেটিং সিস্টেম
- অপারেশন
- অপারেটর
- অপারেটরদের
- or
- ক্রম
- OS
- অন্যান্য
- অন্যরা
- আমাদের
- চেহারা
- বাহিরে
- শেষ
- ওভারভিউ
- নিজের
- পি ও ই
- পৃষ্ঠা
- রং
- পরামিতি
- অংশ
- গত
- প্যাটার্ন
- পিডিএফ
- প্রতি
- শতকরা হার
- সম্পাদিত
- কাল
- অধ্যবসায়
- পেরু
- প্রপঁচ
- ফিশিং
- ছবি
- পিয়ের
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- দয়া করে
- অনুগ্রহ করে যোগাযোগ করুন
- পুলিশ
- পপ-আপ
- পোর্টাল
- পোর্ট
- পর্তুগাল
- সম্ভব
- উপস্থিতি
- বর্তমান
- আদিম
- ব্যক্তিগত
- সম্ভবত
- প্রক্রিয়া
- প্রক্রিয়াজাত
- উত্পাদন করে
- পণ্য
- উন্নতি
- অগ্রগতি
- প্রকল্প
- সঠিকভাবে
- রক্ষা
- প্রোটোকল
- প্রোটোকল
- প্রতিপন্ন
- প্রদত্ত
- প্রদানকারীর
- উপলব্ধ
- প্রদানের
- প্রক্সি
- প্রকাশিত
- পাইথন
- Q3
- দ্রুত
- পুরোপুরি
- দ্রুত
- হার
- বরং
- কারণ
- সাম্প্রতিক
- লাল
- উল্লেখ করা
- বোঝায়
- প্রতিফলিত
- নিবন্ধভুক্ত
- নিবন্ধন
- রেজিস্ট্রি
- অবশিষ্ট
- দেহাবশেষ
- দূরবর্তী
- দূরবর্তী অবস্থান থেকে
- অপসারণ
- রিপোর্ট
- প্রতিবেদন
- চিত্রিত করা
- অনুরোধ
- অনুরোধ
- প্রয়োজনীয়
- আবশ্যকতা
- প্রয়োজন
- গবেষণা
- গবেষকরা
- সমাধান
- সমাধান
- স্থিরপ্রতিজ্ঞ
- সমাধানে
- দায়ী
- ফল
- চালান
- দৌড়
- s
- বলেছেন
- সেন্ট
- একই
- করাত
- বলা
- স্ক্রিন
- সার্চ
- দ্বিতীয়
- গোপন
- অধ্যায়
- বিভাগে
- নিরাপত্তা
- সুরক্ষা সফ্টওয়্যার
- সুরক্ষা সরঞ্জাম
- দেখ
- মনে হয়
- দেখা
- নির্বাচিত
- পাঠান
- পাঠানোর
- প্রেরিত
- সেপ্টেম্বর
- ক্রম
- সার্ভার
- সার্ভার
- স্থল
- সেবা
- সেবা
- সেট
- সেট
- বিন্যাস
- বিভিন্ন
- ভাগ
- শেয়ারিং
- প্রদর্শনী
- প্রদর্শিত
- শো
- পাশ
- উল্লেখযোগ্যভাবে
- অনুরূপ
- সহজ
- যুগপত
- এককালে
- থেকে
- একক
- ছোট
- So
- সফটওয়্যার
- কেবলমাত্র
- কিছু
- কখনও কখনও
- শীঘ্রই
- উৎস
- সোর্স কোড
- স্পেন
- নির্দিষ্ট
- অকুস্থল
- স্প্রেড
- মান
- শুরু
- প্রারম্ভকালে
- যুক্তরাষ্ট্র
- পরিসংখ্যানসংক্রান্ত
- পরিসংখ্যান
- ধাপ
- এখনো
- সঞ্চিত
- দোকান
- প্রবাহ
- স্ট্রিং
- প্রবলভাবে
- সাবডোমেন
- বিষয়
- সফলভাবে
- এমন
- সংক্ষিপ্ত করা
- সমর্থন
- আশ্চর্য
- সুইচ
- পদ্ধতি
- সিস্টেম
- টেবিল
- গ্রহণ করা
- লাগে
- লক্ষ্যবস্তু
- লক্ষ্য করে
- লক্ষ্যমাত্রা
- কারিগরী
- প্রযুক্তিগত বিশ্লেষণ
- প্রযুক্তি
- দশ
- পাঠ
- চেয়ে
- যে
- সার্জারির
- তথ্য
- তাদের
- তাহাদিগকে
- তারপর
- অতএব
- এইগুলো
- তারা
- মনে
- এই
- সেগুলো
- যদিও?
- হাজার হাজার
- হুমকি
- তিন
- দ্বারা
- সময়
- বার
- টাইমস্ট্যাম্প
- শিরনাম
- থেকে
- একসঙ্গে
- টুল
- সরঞ্জাম
- শীর্ষ
- মোট
- প্রতি
- পথ
- অনুসরণকরণ
- ট্রাফিক
- চিকিত্সা
- আলোড়ন সৃষ্টি
- সাহসী যোদ্ধা
- দুই
- ক্ষয়ের
- অনন্য
- পর্যন্ত
- অব্যবহৃত
- উপরে
- আপটাইম
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারসমূহ
- ব্যবহার
- সাধারণত
- সদ্ব্যবহার করা
- ব্যবহার
- মূল্য
- মানগুলি
- বৈকল্পিক
- সুবিশাল
- সংস্করণ
- সংস্করণ সংক্রান্ত তথ্য
- খুব
- মাধ্যমে
- শিকার
- ক্ষতিগ্রস্তদের
- দেখুন
- পরিদর্শন
- ছিল
- উপায়..
- we
- ওয়েব
- ওয়েব ব্রাউজার
- ওয়েবসাইট
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- আমরা একটি
- ছিল
- কি
- কখন
- যে
- যখন
- হু
- ইচ্ছা
- জানলা
- জানালা
- সঙ্গে
- মধ্যে
- হয়া যাই ?
- কাজ
- লেখা
- বছর
- বছর
- উৎপাদনের
- zephyrnet
- ফ্যাস্ শব্দ