CloudSorcerer ব্যাকডোর
একটি নতুন বর্শা-ফিশিং প্রচারণা, ইস্টউইন্ড ডাব, রাশিয়ান সরকার এবং আইটি সংস্থাগুলিকে টার্গেট করছে৷ প্রচারাভিযান বিভিন্ন ব্যাকডোর এবং ট্রোজান প্রদান করে।
এই আক্রমণের ক্রমটি সাধারণত RAR সংরক্ষণাগার সংযুক্তি দিয়ে শুরু হয় যাতে একটি Windows শর্টকাট (LNK) ফাইল থাকে। যখন খোলা হয়, এই ফাইলটি ক্রিয়াগুলির একটি সিরিজ ট্রিগার করে যার ফলে শেষ পর্যন্ত ম্যালওয়্যার স্থাপন করা হয়, যার মধ্যে রয়েছে GrewApacha, CloudSorcerer ব্যাকডোরের একটি আপডেট হওয়া সংস্করণ এবং PlugY নামে একটি পূর্বে অজানা ইমপ্লান্ট৷ PlugY CloudSorcerer ব্যাকডোরের মাধ্যমে ডাউনলোড করা হয়, এতে বিস্তৃত কমান্ডের বৈশিষ্ট্য রয়েছে এবং তিনটি ভিন্ন প্রোটোকল ব্যবহার করে কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করতে পারে।
CloudSorcerer হল একটি জটিল ব্যাকডোর থ্রেট
CloudSorcerer হল একটি উন্নত সাইবার-গুপ্তচরবৃত্তির টুল যা গোপন পর্যবেক্ষণ, ডেটা সংগ্রহ এবং মাইক্রোসফ্ট গ্রাফ, ইয়ানডেক্স ক্লাউড এবং ড্রপবক্সের মাধ্যমে বহিষ্কারের জন্য ডিজাইন করা হয়েছে। এটি তার C2 সার্ভার হিসাবে ক্লাউড সংস্থানগুলি ব্যবহার করে, API এবং প্রমাণীকরণ টোকেনের মাধ্যমে তাদের সাথে ইন্টারঅ্যাক্ট করে। প্রাথমিকভাবে, এটি GitHub এর প্রাথমিক C2 সার্ভার হিসাবে নিয়োগ করে।
লক্ষ্য অনুপ্রবেশের সঠিক পদ্ধতি অস্পষ্ট রয়ে গেছে। যাইহোক, একবার অ্যাক্সেস পাওয়া গেলে, ম্যালওয়্যারটি একটি সি-ভিত্তিক পোর্টেবল এক্সিকিউটেবল বাইনারি স্থাপন করে যা একটি ব্যাকডোর হিসাবে কাজ করে। এই বাইনারি C2 কমিউনিকেশন শুরু করে বা শেলকোডকে বৈধ প্রক্রিয়ায় ইনজেক্ট করে, যেমন mspaint.exe, msiexec.exe, বা স্ট্রিং 'ব্রাউজার' ধারণকারী কোনো প্রক্রিয়া।
CloudSorcerer-এর অত্যাধুনিক নকশা এটিকে কার্যকরী প্রক্রিয়ার উপর ভিত্তি করে তার আচরণকে মানিয়ে নিতে এবং উইন্ডোজ পাইপের মাধ্যমে জটিল আন্তঃপ্রক্রিয়া যোগাযোগ ব্যবহার করার অনুমতি দেয়।
ব্যাকডোর কম্পোনেন্টটি শিকারের মেশিন সম্পর্কে তথ্য সংগ্রহ করার জন্য এবং ফাইল এবং ফোল্ডারগুলি গণনা করার জন্য, শেল কমান্ড চালানো, ফাইল অপারেশন সঞ্চালন এবং অতিরিক্ত পেলোড স্থাপন করার জন্য নির্দেশাবলী কার্যকর করার জন্য তৈরি করা হয়েছে।
C2 মডিউলটি একটি GitHub পৃষ্ঠার সাথে সংযোগ করে যা একটি ডেড ড্রপ রিসোলভার হিসাবে কাজ করে, একটি এনকোডেড হেক্স স্ট্রিং পুনরুদ্ধার করে যা মাইক্রোসফ্ট গ্রাফ বা ইয়ানডেক্স ক্লাউডের প্রকৃত সার্ভারের দিকে নির্দেশ করে। বিকল্পভাবে, CloudSorcerer hxxps://my.mail.ru/ থেকেও ডেটা অ্যাক্সেস করতে পারে, একটি রাশিয়ান ক্লাউড-ভিত্তিক ফটো হোস্টিং পরিষেবা, যেখানে অ্যালবামের নামের একই হেক্স স্ট্রিং রয়েছে৷
সাইবার অপরাধীরা পরবর্তী পর্যায়ের ম্যালওয়্যার স্থাপন করতে CloudSorcerer ব্যবহার করে
প্রাথমিক সংক্রমণ পদ্ধতিতে একটি আপস করা LNK ফাইল জড়িত যা একটি প্রতারণামূলক DLL চালানোর জন্য DLL সাইড-লোডিং কৌশল ব্যবহার করে। এই DLL ড্রপবক্সকে যোগাযোগের চ্যানেল হিসেবে ব্যবহার করে রিকনেসান্স এবং অতিরিক্ত পেলোড ডাউনলোড করতে।
নিয়োজিত ম্যালওয়্যার স্ট্রেনগুলির মধ্যে একটি হল GrewApacha, একটি ব্যাকডোর যা পূর্বে চীন-সংযুক্ত APT31 গ্রুপের সাথে যুক্ত ছিল। এছাড়াও DLL সাইড-লোডিংয়ের মাধ্যমে শুরু করা হয়েছে, এটি প্রকৃত কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের দিকে নির্দেশ করে একটি বেস 64-এনকোডেড স্ট্রিং সংরক্ষণ করতে একটি আক্রমণকারী-নিয়ন্ত্রিত গিটহাব প্রোফাইলকে একটি ডেড ড্রপ রেজলভার হিসেবে ব্যবহার করে।
আক্রমণে পরিলক্ষিত অন্যান্য ম্যালওয়্যার পরিবার হল PlugY, একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত ব্যাকডোর যা TCP, UDP বা নামযুক্ত পাইপ ব্যবহার করে একটি ম্যানেজমেন্ট সার্ভারের সাথে সংযোগ করে এবং শেল কমান্ড চালানো, ডিভাইসের স্ক্রীন নিরীক্ষণ, লগ কীস্ট্রোক এবং ক্লিপবোর্ড সামগ্রী ক্যাপচার করার ক্ষমতা সহ আসে। .
PlugX-এর একটি সোর্স কোড বিশ্লেষণ DRBControl (ওরফে ক্ল্যাম্বলিং) নামক একটি পরিচিত ব্যাকডোরের সাথে মিল খুঁজে পেয়েছে, যা APT27 এবং APT41 হিসাবে ট্র্যাক করা চীন-নেক্সাস হুমকি ক্লাস্টারগুলির জন্য দায়ী করা হয়েছে। ইস্টউইন্ড অভিযানের পিছনে আক্রমণকারীরা জনপ্রিয় নেটওয়ার্ক পরিষেবাগুলি যেমন কমান্ড সার্ভারগুলি ব্যবহার করেছিল, যেমন গিটহাব, ড্রপবক্স, কোরা, রাশিয়ান লাইভজার্না এবং ইয়ানডেক্স ডিস্ক।
