DroxiDat ম্যালওয়্যার
দক্ষিণ আফ্রিকায় অবস্থিত একটি বিদ্যুৎ উৎপাদন কোম্পানিতে সাইবার হামলার সঙ্গে জড়িত একজন অজ্ঞাত জালিয়াতি-সম্পর্কিত অভিনেতা। আক্রমণটি DroxiDat হিসাবে ট্র্যাক করা একটি অভিনব ম্যালওয়্যার হুমকি ব্যবহার করেছে। ম্যালওয়্যারটি পূর্বে আবিষ্কৃত SystemBC এর একটি নতুন পুনরাবৃত্তি বলে নিশ্চিত করা হয়েছে এবং সম্ভবত এটি একটি প্রত্যাশিত র্যানসমওয়্যার আক্রমণের প্রাথমিক পদক্ষেপ হিসাবে স্থাপন করা হয়েছে।
DroxiDat-এর মোতায়েন, প্রক্সি ক্ষমতা দিয়ে সজ্জিত একটি ব্যাকডোর, অত্যাবশ্যক পরিকাঠামোর মধ্যে Cobalt Strike বীকনগুলির ব্যবহারের সাথে একই সাথে ঘটেছে। গবেষকরা নির্ধারণ করেছেন যে এই ঘটনাটি 2023 সালের মার্চের শেষের দিকে ঘটেছিল। এই সময়ে, এটি বিশ্বাস করা হয় যে আক্রমণ অপারেশনটি প্রাথমিক পর্যায়ে ছিল, সিস্টেম প্রোফাইলিং এবং কমান্ডের সাথে যোগাযোগের সুবিধার্থে SOCKS5 প্রোটোকল ব্যবহার করে একটি প্রক্সি নেটওয়ার্ক প্রতিষ্ঠার উপর দৃষ্টি নিবদ্ধ করে। -এবং-নিয়ন্ত্রণ (C2) অবকাঠামো।
DroxiDat-এর নির্মাতারা সিস্টেমবিসি ম্যালওয়্যারকে ভিত্তি হিসেবে ব্যবহার করেছেন
SystemBC হল একটি কমোডিটি ম্যালওয়্যার এবং দূরবর্তী প্রশাসনিক টুল যা C/C++ এ কোড করা হয়েছে। হুমকিটি প্রাথমিকভাবে 2019 সালে ফিরে আসে। এর প্রাথমিক কাজটি আপোসকৃত মেশিনে SOCKS5 প্রক্সি স্থাপনের সাথে জড়িত। এই প্রক্সিগুলি অন্যান্য ধরণের ম্যালওয়্যারের সাথে যুক্ত জাল ট্র্যাফিকের জন্য নালী হিসাবে কাজ করে৷ এই বিশেষ ম্যালওয়্যারের সাম্প্রতিক পুনরাবৃত্তিগুলি ক্ষমতাগুলিকে প্রসারিত করেছে, অতিরিক্ত হুমকির পেলোডগুলি পুনরুদ্ধার এবং কার্যকর করতে সক্ষম করে৷
র্যানসমওয়্যার আক্রমণের বাহক হিসেবে SystemBC-এর ঐতিহাসিক স্থাপনা ভালোভাবে নথিভুক্ত করা হয়েছে। 2020 সালের ডিসেম্বরে, গবেষকরা Ryuk এবং Egregor Ransomware সংক্রমণ বাস্তবায়নের জন্য একটি সহজলভ্য টর-ভিত্তিক ব্যাকডোর হিসাবে SystemBC-এর আশ্রয় নেওয়ার র্যানসমওয়্যার অপারেটরদের উদাহরণ উন্মোচন করেছিলেন।
সিস্টেমবিসি-এর আবেদন এই ধরনের অপারেশনের মধ্যে এর কার্যকারিতার মধ্যে নিহিত, স্বয়ংক্রিয় পদ্ধতির মাধ্যমে একাধিক লক্ষ্যের সাথে একযোগে যুক্ত হওয়ার অনুমতি দেয়। এটি, পরিবর্তে, নেটিভ উইন্ডোজ সরঞ্জামগুলির মাধ্যমে র্যানসমওয়্যার স্থাপনের সুবিধা দেয়, আক্রমণকারীদের উপযুক্ত শংসাপত্রগুলি পেতে পরিচালনা করা উচিত।
DroxiDat র্যানসমওয়্যার আক্রমণের পূর্বসূরি হিসেবে ব্যবহার করা যেতে পারে
র্যানসমওয়্যার স্থাপনার সাথে DroxiDat-এর সংযোগগুলি একটি স্বাস্থ্যসেবা-সম্পর্কিত ঘটনা থেকে উদ্ভূত হয়েছে যেখানে DroxiDat জড়িত ছিল। এই ঘটনাটি একটি অনুরূপ সময়সীমার মধ্যে উন্মোচিত হয়েছিল যেখানে Nokoyawa র্যানসমওয়্যারটি কোবাল্ট স্ট্রাইকের সাথে একত্রে বিতরণ করা হয়েছে বলে মনে করা হয়।
এই আক্রমণে ব্যবহৃত ম্যালওয়্যারটি মূল SystemBC এর বিপরীতে একটি সুগমিত এবং দক্ষ প্রকৃতির অধিকারী। এটির বিকাশকারীরা এটির কার্যকারিতা কমিয়ে দিয়েছে, সিস্টেমবিসি-তে পাওয়া বেশিরভাগ বৈশিষ্ট্যগুলিকে সরিয়ে দিয়েছে, একটি মৌলিক সিস্টেম প্রোফাইলার হিসাবে এর কার্যকারিতাকে বিশেষায়িত করতে। এর ভূমিকার মধ্যে তথ্য আহরণ করা এবং এটি একটি দূরবর্তী সার্ভারে প্রেরণ করা জড়িত।
ফলস্বরূপ, DroxiDat-এর অতিরিক্ত ম্যালওয়্যার পেলোড ডাউনলোড এবং চালানোর ক্ষমতা নেই। যাইহোক, এটি দূরবর্তী শ্রোতাদের সাথে লিঙ্ক স্থাপন করতে পারে, দ্বিমুখী ডেটা স্থানান্তরকে সহজতর করে এবং সংক্রামিত ডিভাইসের সিস্টেম রেজিস্ট্রি ম্যানিপুলেট করতে সক্ষম।
হামলার জন্য দায়ী হুমকি অভিনেতাদের সনাক্তকরণ অজানা রয়ে গেছে। তা সত্ত্বেও, বিদ্যমান ইঙ্গিতগুলি দৃঢ়ভাবে রাশিয়ান হ্যাকার গ্রুপের সম্ভাব্য জড়িত থাকার পরামর্শ দেয়, বিশেষ করে FIN12 (পিস্তাচিও টেম্পেস্ট নামেও পরিচিত)। এই গ্রুপটি র্যানসমওয়্যার সরবরাহের জন্য তাদের কৌশলের অংশ হিসাবে কোবাল্ট স্ট্রাইক বীকনগুলির পাশাপাশি সিস্টেমবিসি মোতায়েন করার জন্য পরিচিত।
