Deuterbear RAT

সাইবার নিরাপত্তা গবেষকরা এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চলকে লক্ষ্য করে সাম্প্রতিক সাইবার গুপ্তচরবৃত্তি অভিযানে চীন-সংযুক্ত ব্ল্যাকটেক হ্যাকিং গ্রুপ দ্বারা নিযুক্ত একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) Deuterbear-এ নতুন অন্তর্দৃষ্টি প্রদান করেছেন।

Deuterbear RAT গ্রুপের দ্বারা ব্যবহৃত একটি পূর্বে ক্ষতিকারক টুলের মতো, যা Waterbear নামে পরিচিত। যাইহোক, এটি শেলকোড প্লাগইনগুলির জন্য সমর্থন, হ্যান্ডশেক ছাড়াই অপারেশন এবং কমান্ড-এন্ড-কন্ট্রোল (C&C) যোগাযোগের জন্য HTTPS-এর ব্যবহার সহ উল্লেখযোগ্য বর্ধনের বৈশিষ্ট্যগুলি রয়েছে৷ ওয়াটারবিয়ারের বিপরীতে, ডিউটারবিয়ার একটি শেলকোড ফর্ম্যাট ব্যবহার করে, অ্যান্টি-মেমরি স্ক্যানিং কৌশলগুলি অন্তর্ভুক্ত করে এবং এর ডাউনলোডারের সাথে একটি ট্র্যাফিক কী ভাগ করে।

ব্ল্যাকটেক তার অস্ত্রাগারের হুমকির সরঞ্জাম আপডেট করছে

অন্তত 2007 সাল থেকে সক্রিয়, ব্ল্যাকটেক সাইবার নিরাপত্তা সম্প্রদায়ে সার্কিট পান্ডা, আর্থ হুন্ডুন, HUAPI, মাঙ্গা টরাস, পামারওয়ার্ম, রেড ডিজিন এবং টেম্প.ওভারবোর্ড সহ বিভিন্ন নামে পরিচিত।

প্রায় 15 বছর ধরে, গ্রুপটি প্রায়শই তাদের সাইবার আক্রমণে Waterbear ম্যালওয়্যার (DBGPRINT নামেও পরিচিত) ব্যবহার করেছে। যাইহোক, 2022 সালের অক্টোবর থেকে, তাদের প্রচারাভিযানে এই ম্যালওয়্যারটির একটি আপডেট সংস্করণ দেখা গেছে যার নাম Deuterbear।

ওয়াটারবিয়ার ম্যালওয়্যার ডেলিভারির জন্য ব্যাকটেক দ্বারা ব্যবহৃত সংক্রমণ চেইন

ওয়াটারবেয়ার একটি প্যাচযুক্ত বৈধ এক্সিকিউটেবলের মাধ্যমে লক্ষ্যযুক্ত ডিভাইসগুলিতে বিতরণ করা হয়, যা একটি লোডার চালু করতে DLL সাইড-লোডিং ব্যবহার করে। এই লোডারটি তারপর একটি ডাউনলোডারকে ডিক্রিপ্ট করে এবং চালায়, যা RAT মডিউল পুনরুদ্ধার করতে একটি কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের সাথে যোগাযোগ করে।

মজার বিষয় হল, আক্রমণকারী-নিয়ন্ত্রিত অবকাঠামো থেকে RAT মডিউলটি দুবার আনা হয়েছে। প্রথম আনা একটি ওয়াটারবিয়ার প্লাগইন লোড করে, যা অন্য C&C সার্ভার থেকে RAT মডিউল পুনরুদ্ধার করতে Waterbear ডাউনলোডারের একটি ভিন্ন সংস্করণ চালু করে সিস্টেমকে আরও আপস করে।

অন্য কথায়, প্রাথমিক ওয়াটারবিয়ার RAT একটি প্লাগইন ডাউনলোডার হিসাবে কাজ করে, যখন দ্বিতীয় Waterbear RAT একটি ব্যাকডোর হিসাবে কাজ করে, 60টি কমান্ডের একটি সেট ব্যবহার করে আপস করা হোস্ট থেকে সংবেদনশীল তথ্য সংগ্রহ করে।

Deuterbear RAT ভিকটিমদের ডিভাইসে আপস করার জন্য সংশোধিত সংক্রমণ কৌশলের উপর নির্ভর করে

Deuterbear-এর সংক্রমণের পথটি Waterbear-এর মতোই যে এটি RAT ব্যাকডোর কম্পোনেন্ট ইনস্টল করার জন্য দুটি ধাপও প্রয়োগ করে। তবুও, এটি কিছু পরিমাণে এটিকে খামচিও দেয়।

প্রথম পর্যায়, এই ক্ষেত্রে, একটি ডাউনলোডার চালু করার জন্য লোডারকে নিয়োগ করে, যা C&C সার্ভারের সাথে সংযোগ করে Deuterbear RAT, একটি মধ্যস্থতাকারী যেটি DLL সাইড-লোডিংয়ের মাধ্যমে দ্বিতীয় পর্যায়ের লোডারের মাধ্যমে অধ্যবসায় প্রতিষ্ঠা করে। এই লোডারটি শেষ পর্যন্ত একটি ডাউনলোডার চালানোর জন্য দায়ী, যেটি আবার তথ্য চুরির জন্য একটি C&C সার্ভার থেকে Deuterbear RAT ডাউনলোড করে।

বেশিরভাগ সংক্রামিত সিস্টেমে, শুধুমাত্র দ্বিতীয় পর্যায়ের Deuterbear পাওয়া যায়। 'প্রসিসটেন্স ইন্সটলেশন' সম্পন্ন হওয়ার পর প্রথম পর্যায়ের Deuterbear-এর সমস্ত উপাদান সম্পূর্ণরূপে মুছে ফেলা হয়।

Deuterbear RAT এর পূর্বসূরীর থেকে আলাদাভাবে বিবর্তিত হতে পারে

এই কৌশলটি আক্রমণকারীদের ট্র্যাকগুলিকে কার্যকরভাবে অস্পষ্ট করে এবং হুমকি গবেষকদের জন্য প্রকৃত শিকার সিস্টেমের পরিবর্তে, বিশেষত সিমুলেটেড পরিবেশে, ডিউটারবিয়ার ম্যালওয়্যার বিশ্লেষণ করা কঠিন করে তোলে।

Deuterbear RAT হল তার পূর্বসূরির একটি আরও সুগমিত সংস্করণ, শুধুমাত্র কমান্ডের একটি উপসেট বজায় রাখে এবং এর কার্যকারিতা প্রসারিত করার জন্য একটি প্লাগইন-ভিত্তিক পদ্ধতি গ্রহণ করে। ওয়াটারবিয়ার ক্রমাগত বিবর্তনের মধ্য দিয়ে গেছে, যা শেষ পর্যন্ত ডিউটারবিয়ারের বিকাশের দিকে পরিচালিত করে। মজার বিষয় হল, ওয়াটারবিয়ার এবং ডিউটারবিয়ার উভয়ই স্বাধীনভাবে বিকশিত হতে থাকে, বরং একটি অন্যটিকে প্রতিস্থাপন করে।