Airstalk ম্যালওয়্যার

একটি নতুন পরিলক্ষিত ম্যালওয়্যার পরিবার, যা একটি সন্দেহভাজন জাতি-রাষ্ট্র ক্লাস্টার (CL-STA-1009 হিসাবে মনোনীত) এর সাথে সম্পর্কিত, সরবরাহ-শৃঙ্খল অনুপ্রবেশের সাথে সামঞ্জস্যপূর্ণভাবে বিতরণ করা হচ্ছে। Airstalk নামক ইমপ্লান্টটি এন্টারপ্রাইজ মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) অবকাঠামো ব্যবহার করে কমান্ড-এন্ড-কন্ট্রোল (C2) ট্র্যাফিক গোপন করে এবং ক্ষতিগ্রস্থ হোস্ট থেকে ব্রাউজার আর্টিফ্যাক্ট এবং অন্যান্য সংবেদনশীল ডেটা বের করে দেয়।

কীভাবে হুমকিটি সরল দৃষ্টিতে লুকিয়ে থাকে

Airstalk AirWatch API (বর্তমানে Workspace ONE Unified Endpoint Management) কে তার গোপন C2 চ্যানেল হিসেবে পুনঃব্যবহার করে। বৈধ ডিভাইস পরিচালনার জন্য API ব্যবহার করার পরিবর্তে, ম্যালওয়্যারটি তার অপারেটরদের সাথে বার্তা বিনিময়ের জন্য কাস্টম ডিভাইস অ্যাট্রিবিউট এবং ফাইল-আপলোড (blob) বৈশিষ্ট্য ব্যবহার করে, কার্যকরভাবে আক্রমণকারী যোগাযোগ এবং বৃহৎ ডেটা আপলোডের জন্য একটি MDM এন্ডপয়েন্টকে একটি ডেড-ড্রপ রেজলভারে পরিণত করে।

দুটি বাস্তবায়ন: পাওয়ারশেল বনাম .NET

দুটি স্বতন্ত্র বিল্ড লক্ষ্য করা গেছে: একটি PowerShell ব্যাকডোর এবং একটি আরও বৈশিষ্ট্য সমৃদ্ধ .NET ভেরিয়েন্ট। উভয়ই একটি মাল্টি-থ্রেডেড C2 প্রোটোকল বাস্তবায়ন করে এবং স্ক্রিনশট ক্যাপচার এবং কুকিজ সংগ্রহ, ব্রাউজিং ইতিহাস এবং বুকমার্কের মতো ডেটা চুরির ক্রিয়াকলাপগুলিকে সমর্থন করে। প্রমাণ থেকে জানা যায় যে কিছু শিল্পকর্ম এমন একটি শংসাপত্র দিয়ে স্বাক্ষরিত হয়েছিল যা গবেষকরা চুরি হওয়ার সম্ভাবনা বলে মনে করেন।

পাওয়ারশেল ভেরিয়েন্ট: C2 আচরণ এবং ক্ষমতা

পাওয়ারশেল ইমপ্লান্ট /api/mdm/devices/ এন্ডপয়েন্টের মাধ্যমে যোগাযোগ করে। স্টার্টআপের সময়, এটি একটি সাধারণ CONNECT/CONNECTED হ্যান্ডশেকের মাধ্যমে যোগাযোগ স্থাপন করে, 'ACTIONS' বার্তা হিসাবে প্যাকেজ করা কাজগুলি গ্রহণ করে, সেগুলি কার্যকর করে এবং 'RESULT' বার্তা ব্যবহার করে ফলাফল প্রদান করে। যখন কোনও কাজ বড় আউটপুট তৈরি করে, তখন Airstalk MDM API এর ব্লব বৈশিষ্ট্য ব্যবহার করে ডেটা আপলোড করে।

PowerShell ব্যাকডোর দ্বারা সমর্থিত পর্যবেক্ষণকৃত ক্রিয়াগুলির মধ্যে রয়েছে:

• একটি স্ক্রিনশট নিন।
• গুগল ক্রোম থেকে কুকিজ পুনরুদ্ধার করুন।
• সমস্ত ব্যবহারকারীর Chrome প্রোফাইল তালিকাভুক্ত করুন।
• একটি নির্দিষ্ট Chrome প্রোফাইলের জন্য বুকমার্কগুলি পান।
• একটি নির্দিষ্ট Chrome প্রোফাইলের ব্রাউজিং ইতিহাস সংগ্রহ করুন।
• ব্যবহারকারী ডিরেক্টরির অধীনে সমস্ত ফাইল গণনা করুন।
• নিজেই আনইনস্টল করুন।

.NET ভেরিয়েন্ট: উন্নত লক্ষ্য এবং ক্ষমতা

.NET বিল্ডটি পরিধি এবং পরিশীলিততা প্রসারিত করে। এটি অতিরিক্ত এন্টারপ্রাইজ ব্রাউজারগুলিকে (মাইক্রোসফ্ট এজ এবং আইল্যান্ড) লক্ষ্য করে, একটি AirWatch সহায়ক এক্সিকিউটেবল (AirwatchHelper.exe) হিসাবে ছদ্মবেশ ধারণ করার চেষ্টা করে এবং সংস্করণ অমিল বিজ্ঞপ্তি, ডিবাগিং আউটপুট এবং বীকনিংয়ের জন্য ব্যবহৃত তিনটি অতিরিক্ত বার্তা প্রকার যুক্ত করে।

.NET ভেরিয়েন্টের মূল পার্থক্য এবং অতিরিক্ত আচরণ:

C2 টাস্ক পরিচালনা করতে, ডিবাগ লগ এক্সফিল্ট্রেট করতে এবং C2 তে পর্যায়ক্রমিক বীকন সম্পাদন করতে তিনটি ডেডিকেটেড এক্সিকিউশন থ্রেড ব্যবহার করে।

লক্ষ্যবস্তু এক্সফিল্ট্রেশন এবং রিমোট কন্ট্রোলের জন্য একটি বিস্তৃত কমান্ড সেট সমর্থন করে, যার মধ্যে নির্দিষ্ট ব্রাউজার প্রোফাইল ডাম্প করার কমান্ড, ফাইল আপলোড করা, URL খোলা, ডিরেক্টরি সামগ্রী তালিকাভুক্ত করা এবং আরও অনেক কিছু অন্তর্ভুক্ত।

কিছু .NET নমুনা 'Aoteng Industrial Automation (Langfang) Co., Ltd)'-এর একটি সার্টিফিকেট দিয়ে স্বাক্ষরিত যা বিশ্লেষকরা মনে করেন সম্ভবত চুরি হয়ে গেছে; প্রাথমিক নমুনাগুলিতে ২৮ জুন, ২০২৪ সালের একটি সংকলন টাইমস্ট্যাম্প রয়েছে।

PowerShell সংস্করণের বিপরীতে, বিশ্লেষণ করা .NET ভেরিয়েন্টের নমুনাগুলি ধারাবাহিকভাবে স্থিরতার জন্য একটি নির্ধারিত কাজ তৈরি করে না।

.NET নমুনায় পরিলক্ষিত সম্প্রসারিত কমান্ড সেটের মধ্যে রয়েছে:

• স্ক্রিনশট
• UpdateChrome (একটি নির্দিষ্ট Chrome প্রোফাইল এক্সফিল্ট্রেট করুন)
• ফাইলম্যাপ (একটি ডিরেক্টরির বিষয়বস্তু তালিকাভুক্ত করুন)
• রানইউটিলিটি (পর্যবেক্ষিত নমুনাগুলিতে এখনও বাস্তবায়িত হয়নি)
• এন্টারপ্রাইজক্রোমপ্রোফাইল (ক্রোম প্রোফাইলগুলি গণনা করুন)
• আপলোডফাইল (ফাইল/আর্টিফ্যাক্ট এবং শংসাপত্রগুলি এক্সফিল্ট্রেট করুন)
• ওপেন ইউআরএল (ক্রোমে একটি ইউআরএল চালু করুন)
• আনইনস্টল করুন
• এন্টারপ্রাইজক্রোমবুকমার্কস (একটি Chrome প্রোফাইল থেকে বুকমার্ক পুনরুদ্ধার করুন)
• এন্টারপ্রাইজআইল্যান্ডপ্রোফাইলস (আইল্যান্ড ব্রাউজার প্রোফাইল গণনা করুন)
• দ্বীপ আপডেট করুন (একটি নির্দিষ্ট দ্বীপের প্রোফাইল এক্সফিল্টার করুন)
• ExfilAlreadyOpenChrome (বর্তমান Chrome প্রোফাইল থেকে কুকিজ ডাম্প করুন)

বিতরণ এবং প্রভাব

কাদের টার্গেট করা হয়েছিল এবং সঠিক বিতরণ পদ্ধতিটি এখনও স্পষ্ট নয়। তবে, C2 হিসাবে MDM API ব্যবহার এবং এন্টারপ্রাইজ ব্রাউজারগুলিতে স্পষ্ট ফোকাস, বিশেষ করে আইল্যান্ড, যা কর্পোরেট স্থাপনার লক্ষ্যে তৈরি, দৃঢ়ভাবে একটি সরবরাহ-শৃঙ্খল বা তৃতীয়-পক্ষের বিক্রেতা আপসকে ব্যবসায়িক প্রক্রিয়া আউটসোর্সিং (BPO) সংস্থাগুলিকে লক্ষ্য করে নির্দেশ করে। BPO সরবরাহকারীরা আকর্ষণীয় লক্ষ্যবস্তু কারণ চুরি করা ব্রাউজার সেশন কুকি এবং প্রোফাইল আর্টিফ্যাক্ট আক্রমণকারীদের অসংখ্য ডাউনস্ট্রিম ক্লায়েন্ট পরিবেশে অ্যাক্সেস দিতে পারে; একজন বিক্রেতার অবকাঠামোর মাধ্যমে অবিরাম অ্যাক্সেস প্রভাবকে বাড়িয়ে তোলে।

উপসংহার

Airstalk একটি উদ্বেগজনক প্রবণতা প্রদর্শন করে: আক্রমণকারীরা বিশ্বস্ত ব্যবস্থাপনা প্ল্যাটফর্মের অপব্যবহার করে বৈধ প্রশাসনিক টেলিমেট্রির সাথে দূষিত ট্র্যাফিক মিশ্রিত করে। যেসব প্রতিষ্ঠান তৃতীয় পক্ষের বিক্রেতা বা BPO পরিষেবার উপর নির্ভর করে, তাদের জন্য এই কৌশলটি অনেক ক্লায়েন্ট পরিবেশে একক আপস ছড়িয়ে পড়ার ঝুঁকিকে উল্লেখযোগ্যভাবে বৃদ্ধি করে। এই শ্রেণীর হুমকি সনাক্ত এবং সীমিত করার জন্য MDM কার্যকলাপ, শংসাপত্রের উৎপত্তি এবং বিক্রেতা টুলচেইনের অখণ্ডতার উপর নজর রাখা অপরিহার্য।