আন্ডারিয়াল ক্রিমিনাল গ্রুপ

আন্ডারিয়েল ক্রিমিনাল গ্রুপ হল একটি রাষ্ট্র-স্পন্সর করা হুমকি অভিনেতা যেটি দক্ষিণ কোরিয়ায় অবস্থিত সত্তাকে টার্গেট করার উপর অবিরত ফোকাস দেখিয়েছে। সাইবার অপরাধীরা তাদের ক্রিয়াকলাপের জন্য আর্থিকভাবে অনুপ্রাণিত দিকও প্রদর্শন করেছে। পূর্বে, গোষ্ঠীটি দক্ষিণ কোরিয়ার এটিএমগুলিকে সরাসরি লক্ষ্যবস্তু করেছে, যখন গ্রুপের জন্য দায়ী করা সর্বশেষ গুরুতর আক্রমণে, হ্যাকাররা তাদের একজনের শিকারের জন্য একটি র্যানসমওয়্যার হুমকি মোতায়েন করেছিল। এটা উল্লেখ করা উচিত যে আন্ডারিয়াল ক্রিমিনাল গ্রুপকে কোরিয়ান ফাইন্যান্সিয়াল সিকিউরিটি ইনস্টিটিউট দ্বারা লাজারাস এপিটি (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপের একটি সাব-গ্রুপ হিসেবে মনোনীত করা হয়েছে।

এখনও পর্যন্ত আন্ডারিয়াল ক্রিমিনাল গ্রুপের শিকাররা একে অপরের মধ্যে খুব কম সংযোগ দেখায়। প্রতিটি শিকার তাদের নিজ নিজ উল্লম্বে সক্রিয় হয়েছে, অন্য কোনো লক্ষ্যবস্তু সত্তার সাথে স্পষ্ট লিঙ্ক ছাড়াই। ইনফোসেক গবেষকরা ম্যানুফ্যাকচারিং, মিডিয়া, কনস্ট্রাকশন এবং হোম নেটওয়ার্ক সার্ভিস সেক্টরে কাজ করা গ্রুপের শিকারদের খুঁজে পেয়েছেন।

একটি জটিল আক্রমণ চেইন

আন্ডারিয়াল ক্রিমিনাল গ্রুপ দ্বারা পরিচালিত অপারেশনগুলি ক্রমাগত বিকশিত হতে থাকে এবং আরও জটিল হয়ে ওঠে। সর্বশেষ পর্যবেক্ষণ করা প্রচারাভিযানে একাধিক বিশেষায়িত দূষিত পেলোড রয়েছে, প্রতিটি আক্রমণের পৃথক পর্যায়ে স্থাপন করা হয়েছে। হ্যাকাররা সমঝোতার প্রাথমিক ভেক্টর হিসাবে অস্ত্রযুক্ত নথি ফাইল ব্যবহার করে। নথিগুলি পরিশীলিত সংক্রমণ পদ্ধতিগুলি পরিচালনা করার জন্য ডিজাইন করা হয়েছে যা সনাক্তকরণকে উল্লেখযোগ্যভাবে কঠিন করে তোলে। যদিও বেশিরভাগ ক্ষেত্রে, একটি অস্ত্রযুক্ত মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্ট ভুক্তভোগীদের কাছে পৌঁছে দেওয়া হয়েছিল, এমনও বেশ কয়েকটি উদাহরণ রয়েছে যেখানে আন্ডারিয়েল ক্রিমিনাল গ্রুপ একটি পিডিএফ ডকের ছদ্মবেশে একটি দূষিত ফাইলের আশ্রয় নিয়েছে। কার্যকর করার পরে, নথিগুলি দ্বিতীয় পর্যায়ের পেলোড সরবরাহ করে - একটি ম্যালওয়্যার হুমকি যা কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারগুলির সাথে যোগাযোগ স্থাপন এবং পরবর্তী পেলোডের জন্য পরিবেশ প্রস্তুত করার জন্য দায়ী৷

দ্বিতীয় পর্যায়ের ম্যালওয়্যার C2 থেকে প্রাপ্ত কমান্ড অনুযায়ী 5টি নির্দিষ্ট ফাংশন সম্পাদন করতে পারে। এর মধ্যে রয়েছে একটি স্লিপ ইন্টারভাল সেট করা, স্থানীয় ফাইলে প্রাপ্ত ডেটা সংরক্ষণ করা, CreateThread(এর মাধ্যমে প্রাপ্ত ডেটা কার্যকর করা), এবং WinExec API বা cmd.exe এর মাধ্যমে প্রদত্ত কমান্ডগুলি কার্যকর করা। আক্রমণের তৃতীয় পর্যায়ে, আন্ডারিয়াল ক্রিমিনাল গ্রুপ শিকারের মেশিনে একটি ব্যাকডোর পেলোড স্থাপন করে। ব্যাকডোরটি ইন্টারেক্টিভভাবে অপারেশনে কার্যকর করা হয় এবং এতে x64 এবং x86 সংস্করণ রয়েছে। হুমকি তাদের আইকন এবং সংশ্লিষ্ট ফাইলের নাম ব্যবহার করে ইন্টারনেট এক্সপ্লোরার বা গুগল ক্রোম হিসাবে নিজেকে ছদ্মবেশ করার চেষ্টা করে। তৃতীয়-পর্যায়ের হুমকি একটি স্যান্ডবক্স পরিবেশের লক্ষণগুলির জন্য আপস করা সিস্টেমটিকে স্ক্যান করে। এটি স্যান্ডবক্সি এবং সানবেল্ট স্যান্ডবক্সের অন্তর্গত নির্দিষ্ট মডিউলগুলির উপস্থিতি পরীক্ষা করে।

একক শিকারের উপর, আন্ডারিয়াল ক্রিমিনাল গ্রুপ একটি কাস্টম-মেড র্যানসমওয়্যার হুমকি বাদ দিয়ে আক্রমণকে বাড়িয়ে দিয়েছে। ম্যালওয়্যারটি '.exe,' '.dll,' '.sys,' '.msiins,' এবং 'এর মতো সিস্টেম-ক্রিটিকাল এক্সটেনশনগুলি বাদ দিয়ে সমস্ত ফাইলকে তাদের আকার নির্বিশেষে এনক্রিপ্ট করতে একটি AES-128 CBC মোড অ্যালগরিদম ব্যবহার করে। .drv লক করা ফাইলগুলির সাথে যুক্ত ডিফল্ট এক্সটেনশন হল '.3nc004' এবং এটি মুক্তিপণ নোট বহনকারী পাঠ্য ফাইলের নামও। নোটের পাঠ্যটি প্রকাশ করে যে হ্যাকাররা বিটকয়েনে পরিশোধিত মুক্তিপণ পেতে চায় এবং তারা বিনামূল্যে দুটি ফাইল ডিক্রিপ্ট করার প্রস্তাব দেয়।