BASICSTAR Backdoor

হুমকি অভিনেতা Charming Kitten, ইরান থেকে উদ্ভূত এবং APT35, CharmingCypress, Mint Sandstorm, TA453, এবং Yellow Garuda নামেও পরিচিত, সম্প্রতি মধ্যপ্রাচ্য নীতি বিশেষজ্ঞদের লক্ষ্য করে কয়েকটি নতুন আক্রমণের সাথে যুক্ত হয়েছে৷ এই আক্রমণগুলির সাথে BASICSTAR নামে একটি নতুন ব্যাকডোর ব্যবহার জড়িত, যা একটি প্রতারণামূলক ওয়েবিনার পোর্টাল তৈরির মাধ্যমে স্থাপন করা হয়েছে৷

চার্মিং কিটেনের বিভিন্ন সামাজিক প্রকৌশল প্রচারাভিযান পরিচালনার ট্র্যাক রেকর্ড রয়েছে, কৌশল প্রয়োগ করে যা ব্যাপকভাবে বিভিন্ন সংস্থাকে লক্ষ্য করে, যার মধ্যে রয়েছে থিঙ্ক ট্যাঙ্ক, বেসরকারি সংস্থা (এনজিও), এবং সাংবাদিক।

সাইবার অপরাধীরা ভিকটিমদের আপস করার জন্য বিভিন্ন ফিশিং কৌশল ব্যবহার করে

CharmingKitten প্রায়শই অপ্রচলিত সামাজিক-প্রকৌশল কৌশলগুলি ব্যবহার করে, যেমন অনিরাপদ সামগ্রীর লিঙ্কগুলি প্রবর্তনের আগে দীর্ঘ ইমেল কথোপকথনে লক্ষ্যগুলিকে জড়িত করা। মাইক্রোসফ্ট প্রকাশ করেছে যে মধ্যপ্রাচ্যের বিষয়ে কাজ করা উল্লেখযোগ্য ব্যক্তিদের এই হুমকি অভিনেতা দ্বারা মিসচিফটুট এবং মিডিয়াপিএল (এছাড়াও আইইগলাস নামেও পরিচিত) এর মতো ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য আলাদা করা হয়েছে, যা আপস করা হোস্টদের থেকে সংবেদনশীল তথ্য বের করার জন্য ডিজাইন করা হয়েছে।

ইরানের ইসলামিক রেভল্যুশনারি গার্ড কর্পস (IRGC) এর সাথে যুক্ত বলে বিশ্বাস করা এই গোষ্ঠীটি গত এক বছরে পাওয়ারলেস, বেলাসিয়াও, পাওয়ারস্টার (ওরফে গর্জোলইকো) এবং নকনক সহ অন্যান্য বিভিন্ন ব্যাকডোর বিতরণ করেছে। এটি তাদের সাইবার আক্রমণে অবিরত থাকার প্রতিশ্রুতি, কৌশল এবং পদ্ধতিগুলিকে প্রকাশ্যে প্রকাশ করা সত্ত্বেও অভিযোজিত করার প্রতিশ্রুতিকে বোঝায়।

আক্রমণকারীরা শিকারকে প্রতারণা করার জন্য বৈধ সত্তা হিসাবে জাহির করে

তদন্তের অধীনে ফিশিং আক্রমণের সাথে জড়িত চার্মিং কিটেন অপারেটররা তাদের লক্ষ্যগুলির সাথে বিশ্বাস স্থাপনের জন্য রাসানাহ ইন্টারন্যাশনাল ইনস্টিটিউট ফর ইরানিয়ান স্টাডিজ (IIIS) এর ছদ্মবেশ গ্রহণ করে।

এই ফিশিং প্রচেষ্টাগুলি বৈধ পরিচিতিগুলি থেকে আপস করা ইমেল অ্যাকাউন্টগুলির পাশাপাশি হুমকি অভিনেতার নিয়ন্ত্রণে একাধিক ইমেল অ্যাকাউন্ট ব্যবহার করার জন্য উল্লেখযোগ্য, একটি অনুশীলন যা মাল্টি-পারসোনা ছদ্মবেশ (MPI) নামে পরিচিত৷

আক্রমণের ক্রমগুলি সাধারণত ম্যালওয়্যার ছড়িয়ে দেওয়ার প্রাথমিক পদক্ষেপ হিসাবে LNK ফাইল ধারণকারী RAR সংরক্ষণাগারগুলিকে জড়িত করে। বার্তাগুলি সম্ভাব্য লক্ষ্যবস্তুকে তাদের আগ্রহের জন্য তৈরি করা বিষয়গুলির উপর একটি প্রতারণামূলক ওয়েবিনারে অংশগ্রহণ করতে উত্সাহিত করে৷ একটি পর্যবেক্ষণ করা মাল্টি-স্টেজ সংক্রমণ পরিস্থিতিতে, বেসিকস্টার এবং কোরকুলোডার, পাওয়ারশেল ডাউনলোডার স্ক্রিপ্টগুলি স্থাপন করা হয়েছিল।

BASICSTAR ম্যালওয়্যার আপোসকৃত সিস্টেম থেকে সংবেদনশীল তথ্য সংগ্রহ করে

BASICSTAR, একটি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (VBS) ম্যালওয়্যার হিসাবে চিহ্নিত, মৌলিক সিস্টেমের তথ্য সংগ্রহ করা, কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে দূরবর্তী কমান্ড চালানো এবং একটি ডিকয় PDF ফাইল ডাউনলোড এবং উপস্থাপন করার মতো ক্ষমতা প্রদর্শন করে।

তদুপরি, নির্দিষ্ট ফিশিং আক্রমণগুলি লক্ষ্যযুক্ত মেশিনের অপারেটিং সিস্টেমের উপর ভিত্তি করে স্বতন্ত্র ব্যাকডোর সরবরাহ করার জন্য কৌশলগতভাবে ডিজাইন করা হয়েছে। উইন্ডোজ ব্যবহার করে ভুক্তভোগীরা পাওয়ারলেস এর মাধ্যমে আপোষের শিকার হয়। একই সময়ে, Apple macOS ব্যবহারকারীরা নকনক-এ শেষ হওয়া একটি সংক্রমণ চেইনের সংস্পর্শে আসে, যা এমবেডেড ম্যালওয়্যার ধারণকারী একটি কার্যকরী VPN অ্যাপ্লিকেশন দ্বারা সহায়তা করে।

গবেষকরা বলছেন যে হুমকি অভিনেতা তাদের লক্ষ্যগুলি পর্যবেক্ষণ করার জন্য একটি উচ্চ স্তরের প্রতিশ্রুতি প্রদর্শন করে, যার লক্ষ্য ম্যানিপুলেশন এবং ম্যালওয়্যার স্থাপনার সবচেয়ে কার্যকর পদ্ধতিগুলি সনাক্ত করা। তদুপরি, চার্মিংকিটেন তাদের চলমান উদ্যোগগুলিকে সমর্থন করার জন্য ধারাবাহিকভাবে অসংখ্য প্রচারাভিযান চালু করে এবং মানব অপারেটরদের মোতায়েন করে অন্যান্য হুমকি অভিনেতাদের মধ্যে আলাদা।