Threat Database Advanced Persistent Threat (APT) APT31/জিরকোনিয়াম

APT31/জিরকোনিয়াম

APT31 হল একটি অ্যাডভান্সড পারসিসটেন্ট থ্রেট গ্রুপ যার ফোকাস মেধা সম্পত্তি চুরি এবং ম্যালভার্টাইজিং। এই দলটিকে বিভিন্ন নিরাপত্তা সংস্থার দ্বারা জিরকোনিয়াম, জাজমেন্ট পান্ডা এবং ব্রোঞ্জ ভিনউডও বলা হয়। অন্যান্য APT গোষ্ঠীর মতো, সন্দেহ রয়েছে যে APT31 রাষ্ট্র-স্পন্সর হতে পারে এবং এই ক্ষেত্রে সন্দেহজনক রাষ্ট্র চীন। 2020 সালের গ্রীষ্মে Google থ্রেট অ্যানালাইসিস গ্রুপ পরামর্শ দিয়েছিল যে APT31 ফিশিং ইমেলগুলির সাথে জো বিডেনের রাষ্ট্রপতির প্রচারণাকে লক্ষ্য করছে।

APT31 এর ফোর্সড রিডাইরেক্ট প্রক্রিয়া

2017 সালে, APT31 সবচেয়ে বড় ম্যালভার্টাইজিং অপারেশন চালাচ্ছিল। গ্রুপটি 28টিরও কম জাল বিজ্ঞাপন কোম্পানি তৈরি করেছিল। কনফিয়েন্টের মতে, জিরকোনিয়াম প্রায় 1 বিলিয়ন বিজ্ঞাপন ভিউ কিনেছে এবং সমস্ত বিজ্ঞাপন-নগদীকৃত ওয়েবসাইটের 62% পেতে সক্ষম হয়েছে। ব্যবহৃত প্রধান আক্রমণ ভেক্টর APT31 ছিল জোরপূর্বক পুনঃনির্দেশ। একটি জোরপূর্বক পুনঃনির্দেশ ঘটে যখন কেউ একটি ওয়েবসাইট ব্রাউজ করছেন ব্যবহারকারীর কোনো পদক্ষেপ না নিয়ে অন্য ওয়েবসাইটে পুনঃনির্দেশিত হয়। ব্যবহারকারী যে ওয়েবসাইটটিতে শেষ করেন সেটি সাধারণত একটি স্ক্যামের অংশ হিসাবে ব্যবহৃত হয় বা ম্যালওয়্যার সংক্রমণের দিকে পরিচালিত করে।

myadsbro apt31 হোমপেজ
MyAdsBro হোমপেজ স্ক্রিনশট - উত্স: Confiant.com ব্লগ

APT31 বিজ্ঞাপন প্ল্যাটফর্মের সাথে সম্পর্ক স্থাপন করতে Beginads, একটি জাল বিজ্ঞাপন সংস্থা তৈরি এবং ব্যবহার করেছে। লাইনের নিচে, এটি জিরকোনিয়াম ডোমেনে পরিণত হয়েছে যা তাদের সমস্ত জাল এজেন্সির সমস্ত প্রচারণার জন্য ট্রাফিক পরিচালনা করতে ব্যবহার করবে। APT31 অনেকগুলি বাস্তব বিজ্ঞাপন প্ল্যাটফর্মের সাথে বৈধভাবে সম্পর্ক খুঁজছে তা নিশ্চিত করার জন্য কঠোর পরিশ্রম করেছে৷ এই পদ্ধতিটি স্কিমটিকে কিছুটা স্থিতিস্থাপকতাও দিয়েছে এবং সন্দেহ উত্থাপনের সম্ভাবনা কম করেছে। এছাড়াও APT31 অ্যাফিলিয়েট মার্কেটিং প্ল্যাটফর্মে ট্রাফিক পুনরায় বিক্রি করে। এই ব্যবস্থার অর্থ হল যে APT31 কে তাদের নিজস্ব ল্যান্ডিং পৃষ্ঠাগুলি পরিচালনা করতে হবে না। সাইবার অপরাধীরা আরও এগিয়ে গেছে , একটি অনুমোদিত নেটওয়ার্ক তৈরি করেছে যা তারা নিজেরাই পরিচালনা করত। নেটওয়ার্কটির নাম ছিল MyAdsBro। APT31 MyAdsBro-এর মাধ্যমে তাদের নিজস্ব প্রচারাভিযান চালাত কিন্তু অন্যরা কমিশনের জন্য MyAdsBro-এ ট্রাফিক ঠেলে দিতে পারে।

myadsbro গ্রাহক পাতা
গ্রাহক ওয়েব প্যানেল স্ক্রিনশট - উত্স: Confiant.com ব্লগ

একবার পুনঃনির্দেশ করা হয়ে গেলে, ব্যবহারকারীরা কিছু জনপ্রিয় কৌশলের মাধ্যমে সংক্রমণ সক্ষম করতে প্রলুব্ধ হয়েছিল:

  • জাল Adobe Flash Player আপডেট পপ আপ
  • জাল অ্যান্টিভাইরাস পপ আপ
  • প্রযুক্তি সহায়তা কেলেঙ্কারী
  • বিভিন্ন ভীতিকর বার্তা

APT31 তাদের স্কিম প্রতিষ্ঠা করার সময় এবং এটিকে বৈধ দেখাতে গিয়ে অনেক বেশি পরিশ্রম করে। সমস্ত জাল এজেন্সির বিভিন্ন বিপণন সামগ্রী, সোশ্যাল মিডিয়ায় প্রোফাইল সহ ভুয়া অফিসার এবং অনন্য সামগ্রী সহ উল্লিখিত মিডিয়াতে পোস্টগুলি ছিল। 2017 সালের বসন্তে Zirconium-এর বেশিরভাগ গণ-উত্পাদিত সংস্থাগুলি চালু হয়েছিল৷ 28টির সবকটি ব্যবহার করা হয়নি কারণ তাদের মধ্যে 8টি কখনই তাদের সোশ্যাল মিডিয়ায় উপস্থিতি শুরু করেনি এবং কোনও বিজ্ঞাপনমূলক কার্যকলাপে জড়িত হয়নি৷ সাইবার অপরাধীর প্রচেষ্টা স্পষ্টতই সফল হয়েছিল। APT31 এর জাল এজেন্সি 16টি আসল বিজ্ঞাপন প্ল্যাটফর্মের সাথে সরাসরি ব্যবসায়িক সম্পর্ক তৈরি করতে সক্ষম হয়েছে।

ট্র্যাফিকের শুধুমাত্র একটি ছোট অংশ তারা একটি প্রকৃত পেলোডে পুনঃনির্দেশিত হয়েছে। সনাক্তকরণ এবং বিশ্লেষণ এড়াতে, জিরকোনিয়াম ফাঁকি দেওয়ার পদ্ধতি ব্যবহার করেছিল। APT31 ফিঙ্গারপ্রিন্টিং নামে একটি কৌশল নিযুক্ত করেছে। এটি এমন একটি প্রক্রিয়া যেখানে সাইবার অপরাধীরা শ্রোতাদের একটি নির্দিষ্ট অংশকে আরও সুনির্দিষ্টভাবে লক্ষ্য করার জন্য সম্ভাব্য শিকারদের সিস্টেম সম্পর্কে তথ্য সংগ্রহ করে। আঙ্গুলের ছাপ ব্যবহার করার সময় সাইবার অপরাধীদের লক্ষ্য হল সনাক্তকরণ এড়ানো। সেই উদ্দেশ্যে, তারা ব্রাউজারে জাভাস্ক্রিপ্ট ব্যবহার করে চেষ্টা করবে এবং নিশ্চিত করবে যে স্ক্রিপ্টটি কোনও নিরাপত্তা স্ক্যানারের বিরুদ্ধে চলছে কিনা। যদি একটি স্ক্যানারের লক্ষণ সনাক্ত করা হয়, তাহলে পেলোড বিতরণ করা হবে না। আঙ্গুলের ছাপের সাথে জড়িত একটি ঝুঁকি আছে। স্ক্রিপ্টটি যে কেউ এটি খুঁজছেন তাদের কাছে দৃশ্যমান এবং এটি সন্দেহ বাড়াতে পারে, তবে ফিঙ্গারপ্রিন্টিং পেলোডের উচ্চ সংখ্যক স্থাপনের অনুমতি দেয়।

APT31 এর লুকোচুরি কৌশল ব্যবহার করে

সনাক্তকরণ এড়ানোর অন্যান্য উপায় রয়েছে যা ব্যবহারকারীর পক্ষে একটি স্ক্রিপ্ট চালানোর সাথে জড়িত নয়। সার্ভার সাইড মেকানিজমগুলি প্রয়োগ করা নিরাপদ হতে পারে কারণ একটি নিরাপত্তা গবেষক তাদের ট্রিগার না করা পর্যন্ত তাদের বিশ্লেষণ করতে সক্ষম হবেন না। এই ধরনের একটি পদ্ধতি হল ব্যবহারকারীর আইপি একটি ডেটাসেন্টার আইপি কিনা তা পরীক্ষা করা। স্ক্যানাররা প্রায়শই ডেটাসেন্টার আইপি ব্যবহার করে এবং এই জাতীয় আইপি সনাক্ত করা পেলোড স্থাপন না করার জন্য একটি স্পষ্ট লক্ষণ হবে।

APT31 এর ম্যালভার্টাইজিং অপারেশনের চিত্তাকর্ষক স্কেল সত্ত্বেও, নিরাপত্তা গবেষকরা এখনও তাদের মূল ফোকাস মেধা সম্পত্তি চুরি হিসাবে চিহ্নিত করে। জিরকোনিয়ামের সমস্ত ক্রিয়াকলাপের আসল সুযোগ এখনও অজানা কারণ তাদের ক্ষতি করার সম্ভাবনা রয়েছে।

চলমান

সর্বাধিক দেখা

লোড হচ্ছে...