বিসমাথ এপিটি

বিসমাথ নামে একটি দীর্ঘকাল ধরে চলমান অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপ তাদের লক্ষ্যবস্তুতে একটি ক্রিপ্টো-মাইনার পেলোড স্থাপন করে সম্প্রতি তাদের কার্যকলাপগুলিকে আড়াল করার চেষ্টা করতে দেখা গেছে। ইনফোসেক ল্যান্ডস্কেপে, ক্রিপ্টো-মাইনিং অপারেশনগুলিকে অ-সমালোচনামূলক সমস্যা হিসাবে বিবেচনা করা হয় এবং সাধারণত সাইবার-গুপ্তচরবৃত্তি বা র্যানসমওয়্যার স্থাপনের ক্ষেত্রে তুলনা করলে এটি আরও কম প্রতিক্রিয়া অর্জন করে।

বিসমাথের প্রধান বিশেষত্ব হল তথ্য সংগ্রহ এবং গুপ্তচরবৃত্তি আক্রমণ অভিযান পরিচালনা করা। গোষ্ঠীটি কমপক্ষে 2012 সাল থেকে কার্যকরী হয়েছে, এবং সেই সময়কালে, তাদের সরঞ্জাম, কৌশল এবং পদ্ধতি উভয় জটিলতা এবং পরিসরে ক্রমশ বিকশিত হচ্ছে। গ্রুপের অস্ত্রাগারে ওপেন-সোর্স টুলের সাথে মিলিত কাস্টম-মেড ম্যালওয়্যার রয়েছে। তাদের শিকার আন্তর্জাতিক সংস্থা, আর্থিক পরিষেবা প্রদানকারী সংস্থাগুলি, সরকারী সংস্থা এবং সংস্থাগুলির পাশাপাশি শিক্ষা প্রতিষ্ঠানগুলি সহ বিভিন্ন শিল্প সেক্টর থেকে আসে৷ তাদের পছন্দের টার্গেট, যাইহোক, মানব ও নাগরিক অধিকার সংস্থাগুলি স্থায়ীভাবে হয়েছে।

বিসমাথ ক্রিপ্টো-মাইনিংকে ডেকয় হিসেবে ব্যবহার করে

তাদের সাম্প্রতিক অভিযানে, গ্রুপটি ফ্রান্স এবং ভিয়েতনামে অবস্থিত ব্যক্তিগত এবং সরকারি লক্ষ্যবস্তুতে আপস করেছে। কেরডাউন নামে একটি বিশেষ ম্যালওয়্যার হুমকির মোতায়েন করার কারণে এই অপারেশনটি বিসমাথকে দায়ী করা হয়েছিল, যা একচেটিয়াভাবে আক্রমণের অংশ হিসাবে সনাক্ত করা হয়েছে।

তার টার্গেটের ভিতরে পা রাখার জন্য, বিসমাথ সংস্থাগুলির মধ্যে নির্দিষ্ট কর্মচারীদের নির্দেশিত উচ্চ-বিশদ বর্শা-ফিশিং ইমেলগুলি তৈরি করেছে৷ হ্যাকাররা দূষিত ইমেল চালু করার আগে নির্বাচিত ব্যক্তিদের সম্পর্কে বিভিন্ন তথ্য সংগ্রহ করেছিল। কিছু ক্ষেত্রে, হ্যাকাররা বিশ্বাস তৈরি করতে এবং অনেক বেশি বিশ্বাসযোগ্য গল্প তৈরি করতে তাদের শিকারের সাথে যোগাযোগ স্থাপন করে। আক্রমণের প্রাথমিক পর্যায়ে, বিসমাথ DLL সাইড-লোডিং নামে পরিচিত একটি কৌশল নিযুক্ত করেছিলেন, যা দেখে হ্যাকাররা পুরানো অ্যাপ্লিকেশনগুলিকে কাজে লাগাচ্ছে এবং তাদের একটি দূষিত DLL লোড করতে বাধ্য করছে যা একটি বৈধ ফাইল স্পুফ করছে৷ হ্যাকারদের দ্বারা অপব্যবহার করা হয়েছে বলে পর্যবেক্ষণ করা অ্যাপ্লিকেশনগুলি হল Microsoft Word 2007, McAffee স্ক্যানার, Microsoft Defender এবং Sysinternals DebugView টুল।

তাদের আসল উদ্দেশ্য লুকানোর জন্য, বিসমাথ হ্যাকাররা আপোসকৃত মেশিনে একটি মনরো ক্রিপ্টো-মাইনিং পেলোড চালায়। যদিও খনি শ্রমিকরা এক টন অর্থ উপার্জন করতে সক্ষম হয়নি, তারা গ্রুপের ডেটা-হার্ভেস্টিং কার্যক্রম থেকে মনোযোগ এড়াতে তাদের উদ্দেশ্য পূরণ করেছে।

বিসমাথ এর লক্ষ্যগুলি অধ্যয়ন করে

একবার নির্বাচিত মেশিনের ভিতরে, বিসমাথ হ্যাকাররা আঘাত করার আগে তাদের সময় নেয়। এই গ্রুপটি প্রায় এক মাস ধরে আপোসকৃত নেটওয়ার্কের মধ্যে লুকিয়ে আছে বলে রিপোর্ট করা হয়েছে, ছড়িয়ে দেওয়ার জন্য সবচেয়ে দরকারী কম্পিউটারগুলি অনুসন্ধান এবং সনাক্ত করছে। এই সময়ের মধ্যে, হুমকি অভিনেতা ডোমেন এবং স্থানীয় প্রশাসকের বিশদ, ডিভাইসের তথ্য এবং স্থানীয় সিস্টেমে উপলব্ধ ব্যবহারকারীর সুবিধাগুলি সহ বিভিন্ন ডেটা সংগ্রহ করেছিলেন।

নিরাপত্তা অ্যাকাউন্ট ম্যানেজার (SAM) ডাটাবেস, সেইসাথে ডোমেন গ্রুপ এবং ব্যবহারকারী সম্পর্কে তথ্য থেকে শংসাপত্র সংগ্রহের প্রচেষ্টার সাথে আপোসকৃত নেটওয়ার্কের ভিতরের কার্যকলাপটি বিভিন্ন পর্যায়ে চলে গেছে। প্রাথমিক তথ্য সংগ্রহের পরে, হুমকি অভিনেতা অতিরিক্ত ডিভাইসের সাথে সংযোগ করতে উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন (WMI) ব্যবহার করার চেষ্টা করে। প্রক্রিয়াটির চূড়ান্ত ধাপে হ্যাকাররা DLL সাইড-লোডিংয়ের মাধ্যমে একটি CobaltStrike বীকন ইনস্টল করতে দেখে।