APT27

APT27 (Advanced Persistent Threat) হল একটি হ্যাকিং গোষ্ঠীর নাম যেটি চীন থেকে উদ্ভূত এবং উচ্চ-প্রোফাইল লক্ষ্যবস্তুগুলি অনুসরণ করে। এপিটি 27 এমিসারি পান্ডা, লাকিমাউস এবং ব্রোঞ্জ ইউনিয়ন সহ বিভিন্ন উপনামেও পরিচিত। APT27 দ্বারা পরিচালিত সবচেয়ে সুপরিচিত প্রচারাভিযানের মধ্যে রয়েছে মার্কিন যুক্তরাষ্ট্রের প্রতিরক্ষা ঠিকাদারদের লক্ষ্য করে তাদের আক্রমণ। APT27-এর অন্যান্য জনপ্রিয় ক্রিয়াকলাপগুলির মধ্যে রয়েছে আর্থিক খাতে পরিচালিত বেশ কয়েকটি কোম্পানির বিরুদ্ধে অভিযান, সেইসাথে মধ্য এশিয়ায় অবস্থিত একটি ডেটা সেন্টারের বিরুদ্ধে আক্রমণ চালানো। APT27 এর অস্ত্রশস্ত্রের হ্যাকিং সরঞ্জামগুলির মধ্যে হুমকি রয়েছে যা তাদের রিকনেসান্স অপারেশন চালাতে, সংক্রামিত হোস্টের কাছ থেকে সংবেদনশীল ফাইল সংগ্রহ করতে বা আপোসকৃত সিস্টেম দখল করতে দেয়।

সাইবারসিকিউরিটি গবেষকরা 2010 সালে প্রথম APT27-এর কার্যকলাপ দেখেছিলেন এবং তখন থেকেই এটির উপর নজর রাখছেন। যেহেতু তাদের প্রথম দেখা গেছে, APT27 বিভিন্ন মূল শিল্পে কাজ করে এমন লক্ষ্যগুলির সাথে আপস করতে সক্ষম হয়েছে:

• সরকার
• প্রতিরক্ষা।
• প্রযুক্তি.
• শক্তি.
• ম্যানুফ্যাকচারিং।
• মহাকাশ

APT27 এর ফাটান সহায় সবচেয়ে ব্যবহার টুলস হল Gh0st ইঁদুর , ZXShell এবং HyperBro । যাইহোক, APT27-এর সাইবার ক্রুকরা শুধুমাত্র কাস্টম-নির্মিত হ্যাকিং টুলের উপর নির্ভর করে না। APT27, অন্যান্য অনেক APT-এর মতো, তাদের খারাপ ক্রিয়াকলাপের জন্য বৈধ পরিষেবাগুলিও ব্যবহার করে, সেইসাথে সর্বজনীনভাবে উপলব্ধ হ্যাকিং সরঞ্জামগুলি।

APT27 বিভিন্ন কারণে বিভিন্ন লক্ষ্যবস্তুতে আক্রমণ করেছে, অত্যাধুনিক প্রযুক্তির তথ্য চুরি করা থেকে শুরু করে বেসামরিক গোষ্ঠী এবং সরকারের পক্ষে ভিন্নমতাবলম্বীদের উপর গুপ্তচরবৃত্তি।

এমিসারি পান্ডা সহজলভ্য টুল ব্যবহার করে যেমন শংসাপত্র, টুলস, এবং টার্গেটে নেটিভ পরিষেবা এবং আক্রমণের জন্য তৈরি কাস্টম ম্যালওয়্যার। গ্রুপটি একটি বর্ধিত সময়ের জন্য আপস করা সিস্টেমে উপস্থিতি বজায় রাখার উপর দৃষ্টি নিবদ্ধ করে।

গোষ্ঠীটিকে প্রায় প্রতি তিন মাসে আপোসকৃত নেটওয়ার্কগুলিতে ফিরে আসতে দেখা গেছে যে তাদের কাছে এখনও অ্যাক্সেস রয়েছে তা যাচাই করতে, অ্যাক্সেসটি হারিয়ে গেলে রিফ্রেশ করতে এবং আক্রমণের আগ্রহের আরও ডেটা খুঁজে পেতে।

APT27 প্রমাণ করে যে কি পুরানো তা আবার নতুন

গত বছর, গ্রুপটিকে রিমোট অ্যাক্সেস ট্রোজান (RAT) ZxShell-এর আপডেটেড সংস্করণ স্থাপন করতে দেখা গেছে। ZxShell প্রথম 2006 সালে বিকশিত হয়েছিল, পরের বছর 2007 সালে প্রকাশিত প্রোগ্রামের সোর্স কোড সহ। ম্যালওয়্যারটিতে HTran প্যাকেট পুনঃনির্দেশ বিল্ট-ইন রয়েছে এবং এটি হ্যাংঝো শুনওয়াং টেকনোলজি কোং এর একটি ডিজিটাল শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল। সাংহাই হিন্টসফট কোং লিমিটেডের জন্য ডিজিটাল শংসাপত্র।

2018 সালে মোতায়েন করা Gh0st RAT-এর একটি পরিবর্তিত সংস্করণের পিছনেও APT27 সম্ভবত ছিল। আসল Gh0st RAT-এর সোর্স কোডও অনলাইনে উপলব্ধ। আপডেট হওয়া সংস্করণটি একটি আপস করা নেটওয়ার্কে বেশ কয়েকটি সিস্টেমের বিরুদ্ধে ব্যবহার করা হয়েছিল। গবেষকদের দ্বারা চিহ্নিত নমুনাটি নেটওয়ার্ক ট্র্যাফিক যোগাযোগগুলিকে আরও ভালভাবে আড়াল করতে পরিবর্তিত হেডার সহ একটি কাস্টম বাইনারি প্রোটোকলের মাধ্যমে TCP পোর্ট 443-এ যোগাযোগ করে।

অনলাইনে প্রাপ্ত সরঞ্জামগুলি ব্যবহার করে সন্তুষ্ট নয়, APT27 তার নিজস্ব মালিকানা রিমোট অ্যাক্সেস সরঞ্জামগুলির নিজস্ব পরিসর তৈরি করেছে এবং নিযুক্ত করেছে। এই টুলগুলি, যেমন HyperBro এবং SysUpdate, 2016 সাল থেকে রাউন্ড তৈরি করছে।

SysUpdate হল এক ধরনের মাল্টি-স্টেজ ম্যালওয়্যার এবং শুধুমাত্র এমিসারি পান্ডা ব্যবহার করে। ম্যালওয়্যারটি বিভিন্ন পদ্ধতির মাধ্যমে বিতরণ করা হয়, যেমন ডায়নামিক ডেটা এক্সচেঞ্জ (DDE) ব্যবহার করে দূষিত ওয়ার্ড নথি, চুরি করা শংসাপত্রের মাধ্যমে ম্যানুয়াল স্থাপনা, এবং ওয়েব পুনঃনির্দেশ, এবং কৌশলগত ওয়েব আপস (SWC)।

APT27 ম্যালওয়্যার স্থাপনা এবং বিস্তার

স্থাপনা যাই হোক না কেন, প্রথম পেলোডটি একটি সেলফ-এক্সট্র্যাক্টিং (SFX) WinRAR ফাইলের মাধ্যমে ইনস্টল করা হয় যা SysUpdate-এর জন্য প্রথম পর্যায়ের পেলোড ইনস্টল করে। প্রথম পর্যায়টি দ্বিতীয় পর্যায়ের পেলোড ইনস্টল করার আগে মেশিনে স্থিরতা অর্জন করে, যা SysUpdate Main নামে পরিচিত। ম্যালওয়্যারটি HTTP-র মাধ্যমে যোগাযোগ করে এবং svchost.exe এ ইনজেক্ট করার জন্য কোড ডাউনলোড করে।

SysUpdate Main আক্রমণকারীদের দূরবর্তী অ্যাক্সেস ক্ষমতার একটি পরিসীমা প্রদান করে। RAT হ্যাকারদের মেশিনে ফাইল এবং প্রক্রিয়াগুলি অ্যাক্সেস এবং পরিচালনা করতে, বিভিন্ন পরিষেবার সাথে যোগাযোগ করতে, একটি কমান্ড শেল চালু করতে, স্ক্রিনশট নিতে এবং অন্যান্য ম্যালওয়্যার আপলোড এবং ডাউনলোড করতে দেয়।

SysUpdate হল একটি উল্লেখযোগ্যভাবে নমনীয় ম্যালওয়্যার যা অন্যান্য পেলোড ফাইলের মাধ্যমে প্রয়োজন অনুসারে প্রসারিত বা হ্রাস করা যেতে পারে। নিরাপত্তা গবেষকদের মতে, ভাইরাসের উপস্থিতি কার্যকরভাবে নিয়ন্ত্রণ করার ক্ষমতা হ্যাকারদের তাদের সম্পূর্ণ ক্ষমতা লুকিয়ে রাখতে দেয়।

হুমকি অভিনেতারা একটি অত্যাধুনিক অনুপ্রবেশের সময় তাদের মালিকানাধীন সরঞ্জামগুলি ব্যবহার করতে পারে। এই সরঞ্জামগুলি সনাক্তকরণের একটি হ্রাস ঝুঁকিতে তাদের আরও নিয়ন্ত্রণ দেয়। হুমকি অভিনেতারা ব্যাপকভাবে উপলব্ধ সরঞ্জাম ব্যবহার করে নেটওয়ার্কগুলিতে অ্যাক্সেস লাভ করে বলে মনে হচ্ছে। একবার তারা সিস্টেমে থাকলে, তারা নিরাপত্তা নিয়ন্ত্রণগুলিকে ফাঁকি দিতে পারে, আরও উল্লেখযোগ্য সুবিধা এবং অনুমতিগুলিতে অ্যাক্সেস পেতে পারে এবং দীর্ঘমেয়াদে উচ্চ-মূল্যের সিস্টেমগুলিতে অ্যাক্সেস বজায় রাখতে পারে। APT27 একটি টার্গেট নেটওয়ার্কে যত বেশি সময় ব্যয় করে, এটি তত বেশি সম্ভাব্য ক্ষতি করতে পারে। সবচেয়ে খারাপ পরিস্থিতিতে, গ্রুপটি বছরের পর বছর ধরে একটি সিস্টেমে উপস্থিত থাকতে পারে, প্রচুর সংবেদনশীল তথ্য সংগ্রহ করে এবং সব ধরণের ক্ষতি ঘটাতে পারে।

আরও জনপ্রিয় কাস্টম-সৃষ্ট হ্যাকিং সরঞ্জামগুলির মধ্যে একটি যা APT27 দ্বারা তৈরি করা হয়েছিল তা হল SysUpdate হুমকি৷ এটি একটি RAT (রিমোট অ্যাক্সেস ট্রোজান) যা APT27 জাল স্প্যাম ইমেল এবং সাপ্লাই-চেইন আক্রমণের মাধ্যমে প্রচার করছে বলে মনে হচ্ছে। ম্যালওয়্যার বিশেষজ্ঞরা বিশ্বাস করেন যে সাইবার ক্রুকরা লক্ষ্যবস্তু হোস্টগুলিতে ম্যানুয়ালি SysUpdate RAT ইনস্টল করতে পারে, যদি তারা আগে তাদের অনুপ্রবেশ করেছিল। এই নির্দিষ্ট RAT এর একটি মডুলার গঠন আছে। এর মানে হল যে APT27 আপস করা কম্পিউটারে হুমকির একটি মৌলিক অনুলিপি রোপণ করতে পারে এবং তারপরে এটিতে আরও বৈশিষ্ট্য যুক্ত করতে পারে, আরএটিকে আরও অস্ত্রশস্ত্র করে।

APT27 একটি খুব নমনীয় হ্যাকিং গোষ্ঠী বলে মনে হচ্ছে - উভয় ক্ষেত্রেই তারা যে প্রচার পদ্ধতি ব্যবহার করে এবং বিভিন্ন ধরণের সরঞ্জাম তারা স্থাপন করে। এটি APT27 কে সাইবার ক্রুকদের একটি বরং ভয়ঙ্কর গ্রুপ করে তোলে, যাদের অবমূল্যায়ন করা উচিত নয়।