ডেথস্ট্যাকার এপিটি
ডেথস্টলকার হল হ্যাকারদের একটি অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) গ্রুপকে দেওয়া নাম যা গবেষকরা মনে করেন ভাড়াটে হিসেবে কাজ করছে বা হ্যাক-ফর-হায়ার পরিষেবাগুলি অফার করছে। এই বিশ্লেষণের ভিত্তি হল গ্রুপের জন্য দায়ী করা অপারেশনগুলিতে প্রদর্শিত নির্দিষ্ট বৈশিষ্ট্যগুলি। সাধারণ সাইবার অপরাধমূলক আচরণ হিসাবে বিবেচিত হওয়ার বিপরীতে, ডেথস্ট্যাকার তাদের শিকারকে র্যানসমওয়্যার দ্বারা সংক্রামিত করে না এবং ব্যাঙ্কিং বা ক্রেডিট/ডেবিট কার্ডের শংসাপত্র সংগ্রহ করে না, স্পষ্ট লক্ষণ যে হ্যাকাররা তাদের শিকারের কাছ থেকে আর্থিক লাভ চাইছে না। পরিবর্তে, ডেথস্ট্যাকার শিকারদের একটি খুব সংকীর্ণ অ্যারের থেকে ডেটা বের করার ক্ষেত্রে বিশেষজ্ঞ বলে মনে হচ্ছে। কিছু একক ব্যতিক্রম ছাড়াও, যেমন একটি কূটনৈতিক সত্তাকে আক্রমণ করা, গ্রুপটি আর্থিক খাতে পরিচালিত বেসরকারি সংস্থাগুলি, যেমন পরামর্শদাতা সংস্থা, প্রযুক্তি সংস্থা, আইন সংস্থাগুলি, ইত্যাদি ধারাবাহিকভাবে অনুসরণ করেছে৷ ভৌগলিক বিস্তারের জন্য, ডেথস্টলকারের প্রধান সরঞ্জামগুলির একটি দ্বারা উত্পন্ন ট্র্যাফিক ট্র্যাক করে - পাওয়ারসিং নামে একটি ম্যালওয়্যার হুমকি, ডেথস্ট্যাকারের শিকার চীন, সাইপ্রাস, ইসরায়েল, আর্জেন্টিনা, লেবানন, সুইজারল্যান্ড, তুরস্ক, তাইওয়ান, যুক্তরাজ্য এবং সংযুক্ত আরব আমিরাত।
স্পিয়ার-ফিশিং এবং ডেড ড্রপ রিসোলভার
DeathStalker APT-এর অ্যাটাক চেইনটি ঘনিষ্ঠভাবে পর্যবেক্ষণ করলে দেখা যায় যে হ্যাকাররা তাদের প্রধান টুলটি স্পিয়ার-ফিশিং ইমেলের মাধ্যমে সরবরাহ করে যার সাথে আপোস করা সংযুক্তি রয়েছে। সংযুক্ত ফাইলগুলি এক্সপ্লোরার ডকুমেন্ট বা আর্কাইভ হিসাবে মাস্করাড করা হয় কিন্তু পরিবর্তে, একটি দূষিত LNK ফাইল বহন করে। যখন সন্দেহাতীত ব্যবহারকারী সেগুলিকে কার্যকর করে, তখন এটি একটি জটিল মাল্টি-স্টেজ চেইন শুরু করে। প্রাথমিক পর্যায়ে, ব্যাকগ্রাউন্ডে যে সমস্ত ক্রিয়াকলাপ চলছে এবং যতটা সম্ভব কম সন্দেহ জাগাতে চেষ্টা করার জন্য ব্যবহারকারীর কাছে একটি ডিকয় ডকুমেন্ট প্রদর্শিত হয়। উইন্ডোজ স্টার্টআপ ফোল্ডারে একটি শর্টকাট তৈরি করে একটি স্থায়ী প্রক্রিয়া প্রতিষ্ঠিত হয় যা একটি VBE স্টার্টআপ স্ক্রিপ্ট চালায়। প্রকৃত ম্যালওয়্যার পেলোড আক্রমণের দ্বিতীয় পর্যায়ে বাদ দেওয়া হয়। এটি প্রকৃত কমান্ড-এন্ড-কন্ট্রোল (C&C, C2) সার্ভার ঠিকানা পেতে একটি মৃত ড্রপ সমাধানকারীর সাথে সংযোগ করে। একবার যোগাযোগ স্থাপন হয়ে গেলে, পাওয়ারসিং শুধুমাত্র দুটি জিনিসের জন্য দায়ী - সিস্টেমের স্ক্রিনশট নিন, সেগুলিকে অবিলম্বে C2 সার্ভারে পাঠান এবং কার্যকর করার জন্য C2 দ্বারা প্রদত্ত যেকোনো পাওয়ারশেল স্ক্রিপ্টের জন্য অপেক্ষা করুন।
পাওয়ারসিং যে অদ্ভুত উপায়ে তার C2 ঠিকানায় পৌঁছেছে তা বেশ অনন্য। হ্যাকাররা পোস্ট, মন্তব্য, পর্যালোচনা, ব্যবহারকারীর প্রোফাইল ইত্যাদির মতো বিভিন্ন পাবলিক পরিষেবার প্রাথমিক ডেটা সম্বলিত স্ট্রিংগুলি ছেড়ে দেয়৷ গবেষকরা এই ধরনের বার্তাগুলি Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress এবং Imgur-এ আবিষ্কার করেছেন৷ এই ধরনের সুপরিচিত পাবলিক পরিষেবাগুলির ব্যবহার প্রাথমিক যোগাযোগের সাফল্যের প্রায় গ্যারান্টি দেয় কারণ ট্র্যাফিক স্বাভাবিকভাবে তৈরি হওয়া ট্র্যাফিকের সাথে মিশে যায় এবং কোম্পানিগুলি প্ল্যাটফর্মগুলিকে কালো তালিকাভুক্ত করার সিদ্ধান্ত নিলে যে অসুবিধার সম্মুখীন হতে পারে৷ হ্যাকারদের জন্য একটি অপূর্ণতা আছে, যদিও, তাদের ট্রেস মুছে ফেলা প্রায় অসম্ভব হয়ে ওঠে। ফলস্বরূপ, গবেষকরা নির্ধারণ করতে সক্ষম হন যে পাওয়ারসিং কার্যকলাপের প্রথম লক্ষণগুলি 2017 সালে ফিরে এসেছিল।
পাওয়ারসিং এবং অন্যান্য ম্যালওয়্যার পরিবারের মধ্যে সংযোগ
পাওয়ারসিং এর কিছু অদ্ভুত বৈশিষ্ট্য রয়েছে যা সাধারণ নয়। সুতরাং যখন অন্য একটি ম্যালওয়্যার পরিবারকে প্রায় অভিন্ন বৈশিষ্ট্য পাওয়া যায়, তখন এটি একটি যুক্তিযুক্ত অনুমান তৈরি করে যে হয় তারা একই হ্যাকার গ্রুপ দ্বারা তৈরি করা হয়েছে বা হুমকি অভিনেতারা অবশ্যই একসাথে কাজ করছে। যাইহোক, যখন পাওয়ারসিং-এর কথা আসে, তখন এটি এবং জ্যানিকাব এবং ইভিলনাম নামে আরও দুটি ম্যালওয়্যার পরিবারের মধ্যে মিল পাওয়া গেছে।
আসুন এই সত্যটি দিয়ে শুরু করা যাক যে তিনটিই স্পিয়ার-ফিশিং ইমেল দ্বারা প্রচারিত সংযুক্তিতে লুকানো LNK ফাইলের মাধ্যমে বিতরণ করা হয়। অবশ্যই, এটি একটি খুব সাধারণ কৌশল, কিন্তু তিনটিই নিয়মিত অভিব্যক্তি এবং হার্ডকোড বাক্য সহ মৃত ড্রপ সমাধানকারীদের মাধ্যমে তাদের C2 ঠিকানাগুলি অর্জন করে। অবশেষে, এই ম্যালওয়্যার হুমকিগুলির মধ্যে কোড ওভারল্যাপ রয়েছে, যেমন কিছু ভেরিয়েবলের অভিন্ন নাম এবং বিভিন্ন কোডিং ভাষায় লেখা থাকা সত্ত্বেও ফাংশন।
