TinyTurla-NG Backdoor
তুর্লা হুমকি অভিনেতা, রাশিয়ার দ্বারা সমর্থিত বলে বিশ্বাস করা হয়েছে, তিন মাসব্যাপী প্রচারে TinyTurla-NG নামে একটি নতুন ব্যাকডোর নিয়োগ করতে দেখা গেছে। আক্রমণ অভিযানটি 2023 সালের শেষের দিকে পোল্যান্ডের বেসরকারী সংস্থাগুলিকে বিশেষভাবে লক্ষ্য করে। এর পূর্বসূরি, TinyTurla এর মতো, TinyTurla-NG একটি কম্প্যাক্ট 'শেষ অবলম্বন' ব্যাকডোর হিসাবে কাজ করে। আপোসকৃত সিস্টেমে অন্য সব অননুমোদিত অ্যাক্সেস বা ব্যাকডোর মেকানিজম ব্যর্থ না হওয়া বা আবিষ্কৃত না হওয়া পর্যন্ত এটি সুপ্ত থাকার জন্য কৌশলগতভাবে স্থাপন করা হয়েছে।
TinyTurla-এর সাথে এর সাদৃশ্যের জন্য নামকরণ করা হয়েছে, TinyTurla-NG হল আরেকটি ইমপ্লান্ট যা প্রতিপক্ষের সমষ্টির দ্বারা অন্তত 2020 সাল থেকে মার্কিন যুক্তরাষ্ট্র, জার্মানি এবং আফগানিস্তানকে লক্ষ্য করে অনুপ্রবেশের মাধ্যমে ব্যবহার করা হয়েছে। সাইবারসিকিউরিটি কোম্পানি প্রাথমিকভাবে 2021 সালের সেপ্টেম্বরে TinyTurla নথিভুক্ত করেছে।
সুচিপত্র
তুর্লা এপিটি গ্রুপ রাশিয়ার স্বার্থের সাথে সংগতিপূর্ণ লক্ষ্যমাত্রাকে কম্প্রমাইজ করছে
সাইবার সিকিউরিটি বিশেষজ্ঞ হিসাবে পরিচিত হুমকি অভিনেতারা তুর্লাকে বিভিন্ন উপনামে ট্র্যাক করে, যার মধ্যে রয়েছে আয়রন হান্টার, পেন্সিভ উরসা, সিক্রেট ব্লিজার্ড (পূর্বে ক্রিপ্টন ), স্নেক , ইউরোবুরোস এবং ভেনোমাস বিয়ার। এই হ্যাকার গ্রুপটি রাশিয়ান রাজ্যের সাথে যুক্ত এবং এর ফেডারেল সিকিউরিটি সার্ভিস (এফএসবি) এর সাথে যুক্ত।
সাম্প্রতিক মাসগুলিতে, Turla বিশেষভাবে ইউক্রেন এবং পূর্ব ইউরোপের প্রতিরক্ষা খাতকে লক্ষ্য করেছে, ডেলিভারি চেক নামে একটি নতুন .NET-ভিত্তিক ব্যাকডোর নিয়োগ করেছে৷ একই সাথে, হুমকি অভিনেতা তার দীর্ঘস্থায়ী দ্বিতীয়-পর্যায়ের ইমপ্লান্ট, কাজুয়ার আপগ্রেড করেছেন, যা কমপক্ষে 2017 সাল থেকে ব্যবহার করা হচ্ছে।
2023 সালের শেষের দিকে TinyTurla-NG ট্রেস সমন্বিত সাম্প্রতিকতম প্রচারাভিযান এবং 27 জানুয়ারী, 2024 পর্যন্ত অব্যাহত ছিল। তবে সন্দেহ রয়েছে যে সংশ্লিষ্ট ম্যালওয়্যারের সংকলন তারিখের উপর ভিত্তি করে 2023 সালের নভেম্বরের প্রথম দিকে দূষিত কার্যকলাপ শুরু হয়ে থাকতে পারে। .
TinyTurla-NG Infostealer ম্যালওয়্যার সরবরাহের জন্য ব্যবহৃত হয়
TinyTurla-NG ব্যাকডোরের বন্টন পদ্ধতি বর্তমানে অজানা রয়ে গেছে। যাইহোক, এটি কম্যান্ড-এন্ড-কন্ট্রোল (C2) এন্ডপয়েন্ট হিসাবে আপস করা ওয়ার্ডপ্রেস-ভিত্তিক ওয়েবসাইটগুলিকে ব্যবহার করে দেখা গেছে। এই ওয়েবসাইটগুলি নির্দেশাবলী পুনরুদ্ধার এবং কার্যকর করতে পরিবেশন করে, TinyTurla-NG পাওয়ারশেল বা কমান্ড প্রম্পট (cmd.exe) এর মাধ্যমে কমান্ড কার্যকর করতে এবং ফাইল ডাউনলোড/আপলোড কার্যক্রম সহজতর করে।
উপরন্তু, TinyTurla-NG TurlaPower-NG সরবরাহ করার জন্য একটি বাহক হিসাবে কাজ করে, যা জনপ্রিয় পাসওয়ার্ড ম্যানেজমেন্ট সফ্টওয়্যারগুলির পাসওয়ার্ড ডেটাবেসগুলিকে সুরক্ষিত করতে ব্যবহৃত গুরুত্বপূর্ণ তথ্যগুলিকে উত্তোলন করার জন্য ডিজাইন করা PowerShell স্ক্রিপ্টগুলি নিয়ে গঠিত। বহিষ্কৃত ডেটা সাধারণত একটি জিপ সংরক্ষণাগারে প্যাকেজ করা হয়।
এই প্রচারাভিযানটি একটি উচ্চ স্তরের টার্গেটিং প্রদর্শন করে, নির্দিষ্ট সংখ্যক সংস্থার উপর ফোকাস করে, নিশ্চিতকরণ বর্তমানে পোল্যান্ডে ভিত্তিকদের মধ্যে সীমাবদ্ধ। প্রচারাভিযানটি শক্তিশালী কম্পার্টমেন্টালাইজেশন দ্বারা চিহ্নিত করা হয়, যেখানে C2 হিসাবে পরিবেশন করা কয়েকটি আপোষহীন ওয়েবসাইট শুধুমাত্র সীমিত সংখ্যক নমুনার সাথে যোগাযোগ করে। এই কাঠামোটি একই পরিকাঠামোর মধ্যে একটি নমুনা/C2 থেকে অন্যদের কাছে পিভট করা চ্যালেঞ্জিং করে তোলে।
পিছনের দরজা হুমকি অভিনেতাদের বিভিন্ন হুমকিমূলক কার্যকলাপ সম্পাদন করার অনুমতি দেয়
ব্যাকডোর ম্যালওয়্যার হুমকিতে আক্রান্ত ডিভাইসগুলি উল্লেখযোগ্য বিপদ ডেকে আনে, যার মধ্যে রয়েছে:
- অননুমোদিত অ্যাক্সেস: পিছনের দরজাগুলি একটি ডিভাইসে সাইবার অপরাধীদের জন্য একটি গোপন প্রবেশ বিন্দু প্রদান করে৷ একবার সংক্রমিত হলে, আক্রমণকারীরা অননুমোদিত অ্যাক্সেস পেতে পারে, সংবেদনশীল ডেটা, ব্যক্তিগত তথ্য বা মেধা সম্পত্তিতে আপস করতে পারে।
- ডেটা চুরি এবং গুপ্তচরবৃত্তি: গোপনীয় তথ্য, যেমন আর্থিক রেকর্ড, ব্যক্তিগত বিবরণ, বা ব্যবসায়িক কৌশলগুলি বের করার জন্য পিছনের দরজাগুলিকে কাজে লাগানো যেতে পারে। এই সংগৃহীত ডেটা পরিচয় চুরি, কর্পোরেট গুপ্তচরবৃত্তি বা ডার্ক ওয়েবে বিক্রির জন্য ব্যবহার করা হতে পারে।
- ক্রমাগত নিয়ন্ত্রণ: পিছনের দরজা প্রায়শই একটি আপস করা ডিভাইসের উপর অবিরাম নিয়ন্ত্রণ সক্ষম করে। আক্রমণকারীরা দূরবর্তীভাবে ডিভাইসটি পরিচালনা করতে পারে, অনিরাপদ কমান্ডগুলি চালাতে পারে এবং ব্যবহারকারীর অজান্তেই বর্ধিত সময়ের জন্য অ্যাক্সেস বজায় রাখতে পারে।
- প্রচার এবং পার্শ্বীয় আন্দোলন: ব্যাকডোরগুলি আক্রমণকারীদের একটি ডিভাইস থেকে অন্য ডিভাইসে পার্শ্বীয়ভাবে সরানোর অনুমতি দিয়ে একটি নেটওয়ার্কের মধ্যে ম্যালওয়্যার ছড়িয়ে দিতে সহায়তা করতে পারে। এটি ব্যাপক সংক্রমণের দিকে পরিচালিত করতে পারে, যা সংস্থাগুলির জন্য হুমকি ধারণ করা এবং নির্মূল করা চ্যালেঞ্জিং করে তোলে।
- র্যানসমওয়্যার স্থাপনা: সংক্রমিত ডিভাইস বা নেটওয়ার্কে র্যানসমওয়্যার এনক্রিপ্টিং ফাইল স্থাপনের জন্য ব্যাকডোর একটি এন্ট্রি পয়েন্ট হিসেবে কাজ করতে পারে। অপরাধীরা তখন ডিক্রিপশন চাবির জন্য মুক্তিপণ দাবি করে, স্বাভাবিক কাজকর্ম ব্যাহত করে এবং আর্থিক ক্ষতি করে।
- আপোসকৃত সিস্টেমের অখণ্ডতা: ব্যাকডোরগুলি সুরক্ষা বৈশিষ্ট্যগুলিকে সংশোধন বা অক্ষম করে একটি সিস্টেমের অখণ্ডতার সাথে আপস করতে পারে৷ এটি ম্যালওয়্যার শনাক্ত করতে বা অপসারণ করতে অক্ষমতা সহ, ডিভাইসটিকে আরও শোষণের জন্য ঝুঁকিপূর্ণ রেখে বিভিন্ন সমস্যার কারণ হতে পারে।
- সাপ্লাই চেইন অ্যাটাক: সাপ্লাই চেইন প্রক্রিয়া চলাকালীন পিছনের দরজাগুলি সফ্টওয়্যার বা ফার্মওয়্যারে ইনজেক্ট করা যেতে পারে। আগে থেকে ইনস্টল করা ব্যাকডোর সহ ডিভাইসগুলি সন্দেহাতীত ব্যবহারকারীদের মধ্যে বিতরণ করা যেতে পারে, যা ব্যক্তি, ব্যবসা এবং এমনকি সমালোচনামূলক অবকাঠামোর জন্য একটি উল্লেখযোগ্য হুমকি তৈরি করে।
এই বিপদগুলি প্রশমিত করার জন্য, ব্যক্তি এবং সংস্থাগুলির জন্য নিয়মিত সফ্টওয়্যার আপডেট, অ্যান্টি-ম্যালওয়্যার সমাধান, নেটওয়ার্ক মনিটরিং এবং সম্ভাব্য হুমকিগুলি সনাক্তকরণ এবং এড়ানোর বিষয়ে ব্যবহারকারী শিক্ষা সহ শক্তিশালী সাইবার নিরাপত্তা ব্যবস্থা স্থাপন করা মৌলিক।
