DEEPDATA ম্যালওয়্যার
ব্রাজেনবাম্বু নামে কাজ করা একজন হুমকি অভিনেতা উইন্ডোজের জন্য ফরটিনেটের ফোর্টিক্লায়েন্টে ভিপিএন শংসাপত্র সংগ্রহের জন্য একটি অপ্রস্তুত দুর্বলতা লাভ করেছে। এই কার্যকলাপটি একটি পরিশীলিত মডুলার কাঠামোর অংশ যা DEEPDATA হিসাবে উল্লেখ করা হয়।
এই প্রচারাভিযান বিশ্লেষণকারী গবেষকরা জুলাই 2024-এ শূন্য-দিনের শংসাপত্র প্রকাশের দুর্বলতার শোষণের বিষয়টি উন্মোচন করেছেন। তারা DEEPDATA, DEEPPOST এবং LightSpy-এর বিকাশের জন্য BrazenBamboo কে দায়ী করেছেন।
DEEPDATA ম্যালওয়্যার কি?
DEEPDATA হল উইন্ডোজ অপারেটিং সিস্টেমের জন্য ডিজাইন করা একটি মডুলার পোস্ট-শোষণ টুল, যা আপস করা ডিভাইস থেকে ব্যাপক তথ্য সংগ্রহ করতে সক্ষম। এটি প্রাথমিকভাবে নজরে আনা হয়েছিল যখন সাইবার নিরাপত্তা বিশেষজ্ঞরা উইন্ডোজ-ভিত্তিক নজরদারি কাঠামো বিশ্লেষণ করে, এটিকে চীন-সম্পর্কিত APT41 হুমকি অভিনেতার সাথে সংযুক্ত করে। DEEPDATA ব্যবহার করা হয়েছে হোয়াটসঅ্যাপ, টেলিগ্রাম, সিগন্যাল, ওয়েচ্যাট, লাইন, কিউকিউ এবং স্কাইপের মতো যোগাযোগের প্ল্যাটফর্মগুলি থেকে ডেটা বের করতে, সেইসাথে মাইক্রোসফ্ট আউটলুক, ডিংডিং, ফিশু, কিপ্যাস, অ্যাপ্লিকেশন শংসাপত্র, ব্রাউজার ডেটা, ওয়াই-ফাই নেটওয়ার্ক এবং ইনস্টল করা সফ্টওয়্যার।
DEEPDATA-এর কেন্দ্রস্থলে একটি ডাইনামিক-লিঙ্ক লাইব্রেরি (DLL) লোডার যা data.dll নামে পরিচিত, যেটি frame.dll নামে একটি অর্কেস্ট্রেটর মডিউলের মাধ্যমে 12টি স্বতন্ত্র প্লাগইন ডিক্রিপ্ট এবং স্থাপন করার জন্য ডিজাইন করা হয়েছে। এই প্লাগইনগুলির মধ্যে একটি নতুন চিহ্নিত FortiClient DLL, VPN শংসাপত্র সংগ্রহ করতে সক্ষম।
এই প্লাগইনটি Windows এর জন্য Fortinet VPN ক্লায়েন্টে একটি আনপ্যাচড শূন্য-দিনের দুর্বলতার সুবিধা নেয়। এই ত্রুটিকে কাজে লাগিয়ে, এটি ক্লায়েন্টের প্রক্রিয়ার মেমরি থেকে সরাসরি ব্যবহারকারীর শংসাপত্র পুনরুদ্ধার করে।
অন্যান্য ক্ষতিকারক হুমকি BrazenBamboo আর্সেনালের অংশ
2022 সালে LightSpy স্পাইওয়্যার ইমপ্লান্ট তৈরি করার পর থেকে, আক্রমণকারী ধারাবাহিকভাবে কৌশলগতভাবে যোগাযোগ প্ল্যাটফর্মগুলিকে লক্ষ্য করে, গোপনীয়তা এবং টেকসই অ্যাক্সেসকে অগ্রাধিকার দেয়। LightSpy এর উইন্ডোজ সংস্করণটি এর আর্কিটেকচারে অন্যান্য OS ভেরিয়েন্ট থেকে আলাদা। এটি একটি ইনস্টলারের মাধ্যমে স্থাপন করা হয় যা মেমরিতে শেলকোড চালানোর জন্য একটি লাইব্রেরি লোড করে। এই শেলকোড তারপর কমান্ড-এন্ড-কন্ট্রোল সার্ভার থেকে অর্কেস্ট্রেটর উপাদান ডাউনলোড এবং ডিকোড করে। অর্কেস্ট্রেটরটি BH_A006 নামক একটি লোডার দ্বারা সক্রিয় করা হয়েছে, যা পূর্বে সন্দেহভাজন চীনা হুমকি গ্রুপ 'স্পেস পাইরেটস' এর সাথে যুক্ত ছিল, যা রাশিয়ান সংস্থাগুলিকে লক্ষ্যবস্তু করার জন্য পরিচিত।
BrazenBamboo এর ম্যালওয়্যার অস্ত্রাগারের আরেকটি টুল হল DEEPPOST, একটি পোস্ট-শোষণ ডেটা এক্সফিল্ট্রেশন টুল যা দূরবর্তী প্রান্তে ফাইল পাঠাতে সক্ষম। একসাথে, DEEPDATA এবং DEEPPOST উল্লেখযোগ্যভাবে হুমকি অভিনেতার সাইবার গুপ্তচরবৃত্তির ক্ষমতা বৃদ্ধি করে, LightSpy-এর সাথে আগের কাজের উপর ভিত্তি করে, যা এখন macOS, iOS এবং Windowsকে লক্ষ্য করে।
LightSpy এবং DEEPDATA এর মধ্যে উল্লেখযোগ্য কোড এবং অবকাঠামোগত মিল রয়েছে, যা ইঙ্গিত করে যে উভয় ম্যালওয়্যার পরিবারই সম্ভবত একই ব্যক্তিগত উদ্যোগ দ্বারা তৈরি করা হয়েছে, সম্ভাব্যভাবে সরকারী ব্যবহারের জন্য হ্যাকিং টুল তৈরি করার জন্য চুক্তিবদ্ধ।
