ডেডগ্লিফ ব্যাকডোর

সাইবার নিরাপত্তা বিশ্লেষকরা সম্প্রতি "ডেডগ্লাইফ" নামে পরিচিত একটি উন্নত ব্যাকডোর উন্মোচন করেছেন যা আগে নথিভুক্ত করা হয়নি। এই অত্যাধুনিক ম্যালওয়্যারটি তাদের সাইবার গুপ্তচরবৃত্তি প্রচারের অংশ হিসাবে "স্টিলথ ফ্যালকন" নামে একজন হুমকি অভিনেতা দ্বারা নিযুক্ত করা হয়েছিল।

ডেডগ্লাইফকে যা আলাদা করে তা হল এর অপ্রচলিত স্থাপত্য, যা দুটি সহযোগী উপাদান নিয়ে গঠিত। একটি নেটিভ x64 বাইনারি, অন্যটি একটি .NET সমাবেশ। আদর্শ থেকে এই প্রস্থানটি লক্ষণীয় কারণ বেশিরভাগ ম্যালওয়্যার সাধারণত তার উপাদানগুলির জন্য একটি একক প্রোগ্রামিং ভাষার উপর নির্ভর করে। এই দ্বৈত-ভাষা পদ্ধতির গ্রহণ প্রতিটি প্রোগ্রামিং ভাষার অনন্য ক্ষমতাকে পুঁজি করে এই দুটি উপাদানের জন্য পৃথক উন্নয়ন প্রচেষ্টার সম্ভাবনার পরামর্শ দেয়।

তদ্ব্যতীত, এটা সন্দেহ করা হয় যে বিভিন্ন প্রোগ্রামিং ভাষার ইচ্ছাকৃত ব্যবহার বিশ্লেষণের প্রচেষ্টাকে বাধা দেওয়ার জন্য একটি কৌশলগত কৌশল হিসাবে কাজ করে। এটি নিরাপত্তা গবেষকদের জন্য ম্যালওয়্যারটি নেভিগেট এবং ডিবাগ করার জন্য এটিকে যথেষ্ট চ্যালেঞ্জিং করে তোলে, এর সনাক্তকরণ এবং প্রশমনে জটিলতার আরও একটি স্তর সহ।

ডেডগ্লিফ ব্যাকডোর অস্বাভাবিক বৈশিষ্ট্য প্রদর্শন করে

ডেডগ্লাইফ স্টিলথ ফ্যালকনের অস্ত্রাগারের সর্বশেষ সংযোজন প্রতিনিধিত্ব করে, যা মধ্যপ্রাচ্যের একটি অপ্রকাশিত সরকারী সত্তায় রয়েছে। এটিকে প্রচলিত ব্যাকডোর থেকে আলাদা করে, এই হুমকির সরঞ্জামটি হুমকি অভিনেতা দ্বারা নিয়ন্ত্রিত একটি সার্ভার থেকে কমান্ড গ্রহণ করে। এই কমান্ডগুলি সম্পূরক মডিউলের আকারে আসে, ডেডগ্লাইফকে নতুন প্রক্রিয়া শুরু করার ক্ষমতা প্রদান করে, ফাইল অ্যাক্সেস করে এবং আপোসকৃত সিস্টেম থেকে ডেটা সংগ্রহ করে।

ইমপ্লান্ট ডেলিভারির সঠিক পদ্ধতি একটি রহস্য রয়ে গেছে। যাইহোক, এটি কার্যকর করার জন্য প্রাথমিক ট্রিগার হল একটি শেলকোড লোডার যা উইন্ডোজ রেজিস্ট্রি থেকে শেলকোড পুনরুদ্ধার করে এবং লোড করে। এটি, পরিবর্তে, ডেডগ্লিফের নেটিভ x64 উপাদানটির সম্পাদন শুরু করে, যা "এক্সিকিউটর" নামে পরিচিত।

একটি ডেডগ্লাইফ সংক্রমণ শিকারদের জন্য বিপর্যয়কর পরিণতি হতে পারে

এক্সিকিউটর, একবার সক্রিয় হয়ে গেলে, "অর্কেস্ট্রেটর" নামে একটি .NET উপাদান লোড করার জন্য এগিয়ে যায়। অর্কেস্ট্রেটর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে, পরবর্তী নির্দেশের অপেক্ষায়। এই ম্যালওয়্যারটি রাডারের নীচে থাকার জন্য, এমনকি স্ব-আনইন্সটল করার ক্ষমতার অধিকারী হওয়ার জন্য একাধিক ফাঁকি কৌশলও নিযুক্ত করে। সার্ভার থেকে প্রাপ্ত কমান্ডগুলি সম্পাদনের জন্য সারিবদ্ধ করা হয়, তিনটি স্বতন্ত্র বিভাগে পড়ে: অর্কেস্ট্রেটর টাস্ক, এক্সিকিউটর টাস্ক এবং আপলোড টাস্ক।

নির্বাহক কার্যগুলি ব্যাকডোর পরিচালনা এবং অতিরিক্ত মডিউলগুলি সম্পাদনের উপর নিয়ন্ত্রণ প্রদান করে। অন্যদিকে, অর্কেস্ট্রেটর কাজগুলি নেটওয়ার্ক এবং টাইমার মডিউলগুলির কনফিগারেশন পরিচালনা করে এবং মুলতুবি কাজগুলি বাতিল করতে পারে।

প্রসেস তৈরি, ফাইল অ্যাক্সেস এবং সিস্টেম মেটাডেটা সংগ্রহ সহ বেশ কিছু নির্বাহকের কাজ চিহ্নিত করা হয়েছে। টাইমার মডিউল পর্যায়ক্রমে নেটওয়ার্ক মডিউলের সাথে একত্রে C2 সার্ভারের সাথে যোগাযোগ করে, HTTPS POST অনুরোধের মাধ্যমে C2 যোগাযোগের সুবিধা দেয়। আপলোড টাস্কগুলি, যেমন তাদের নাম থেকে বোঝা যায়, কমান্ডের ফলাফল এবং কোনও সম্মুখীন ত্রুটিগুলি প্রেরণ করতে ব্যাকডোর সক্ষম করে৷

Deadglyph একটি অ্যান্টি-ডিটেকশন মেকানিজম নিয়ে গর্ব করে, যার মধ্যে সিস্টেম প্রক্রিয়ার ক্রমাগত পর্যবেক্ষণ এবং এলোমেলো নেটওয়ার্ক প্যাটার্নের বাস্তবায়ন অন্তর্ভুক্ত। উপরন্তু, এটি সনাক্তকরণের সম্ভাবনা কমাতে নির্দিষ্ট পরিস্থিতিতে স্ব-আনইনস্টল করার ক্ষমতা রাখে।

স্টিলথ ফ্যালকন সাইবার ক্রাইম গ্রুপ প্রায় এক দশক ধরে কাজ করছে

স্টিলথ ফ্যালকন, ফ্রুটিআর্মর নামেও পরিচিত, প্রাথমিকভাবে 2016 সালে জনসাধারণের নজরে আসে যখন গবেষকরা মধ্যপ্রাচ্যের মধ্যে লক্ষ্যবস্তু স্পাইওয়্যার আক্রমণে এর সম্পৃক্ততা উন্মোচন করেন। এই হামলাগুলো সংযুক্ত আরব আমিরাতের (ইউএই) সাংবাদিক, কর্মী এবং ভিন্নমতাবলম্বীদের উপর পরিচালিত হয়েছিল। হুমকি অভিনেতারা বর্শা-ফিশিং কৌশল নিযুক্ত করেছিল, ইমেলগুলিতে এমবেড করা প্রতারণামূলক লিঙ্ক দিয়ে শিকারকে প্রলুব্ধ করে যা ম্যাক্রো-বোঝাই নথির দিকে পরিচালিত করেছিল। এই নথিগুলি নির্বিচারে আদেশ কার্যকর করতে সক্ষম একটি কাস্টম ইমপ্লান্টের জন্য ডেলিভারি প্রক্রিয়া হিসাবে কাজ করে।

2019 সালে পরবর্তী তদন্তে প্রজেক্ট রেভেন নামে একটি গোপন অপারেশন উন্মোচন করা হয়েছিল, যেখানে ডার্কম্যাটার নামক একটি সাইবারসিকিউরিটি ফার্ম দ্বারা নিয়োগকৃত প্রাক্তন মার্কিন গোয়েন্দা পেশাদারদের একটি দল দেখানো হয়েছে। তাদের লক্ষ্য ছিল আরব রাজতন্ত্রের সমালোচনাকারী ব্যক্তিদের উপর নজরদারি চালানো। লক্ষণীয়ভাবে, স্টিলথ ফ্যালকন এবং প্রজেক্ট রেভেন এক এবং একই বলে মনে হচ্ছে, যা তাদের ভাগ করা কৌশল এবং লক্ষ্যগুলি দ্বারা প্রমাণিত।

সময়ের সাথে সাথে, এই গ্রুপটি CVE-2018-8611 এবং CVE-2019-0797 সহ Windows-এ শূন্য-দিনের দুর্বলতার শোষণের সাথে যুক্ত হয়েছে। তথ্য নিরাপত্তা গবেষকরা উল্লেখ করেছেন যে, 2016 এবং 2019 এর মধ্যে, এই গুপ্তচর গোষ্ঠীটি অন্য যেকোন সত্তার তুলনায় শূন্য-দিনের দুর্বলতার আরও ব্যাপক ব্যবহার করেছে।

এই একই সময়ের কাছাকাছি সময়ে, প্রতিপক্ষকে Win32/StealthFalcon নামে পরিচিত একটি ব্যাকডোর ব্যবহার করে দেখা গেছে। এই হুমকিটি কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য উইন্ডোজ ব্যাকগ্রাউন্ড ইন্টেলিজেন্ট ট্রান্সফার সার্ভিস (বিআইটিএস) ব্যবহার করে, আক্রমণকারীদের আপোসকৃত শেষ পয়েন্টগুলির উপর সম্পূর্ণ নিয়ন্ত্রণ প্রদান করে।