এপিটি করবেন না

DoNot, infosec সম্প্রদায়ে APT-C-35 এবং SectorE02 নামেও পরিচিত, হ্যাকারদের একটি অ্যাডভান্সড পারসিসটেন্ট থ্রেট (APT) গ্রুপ যাদের কার্যকলাপ বেশ কয়েক বছর আগে 2012 পর্যন্ত চিহ্নিত করা যেতে পারে। সেই সময়কালে, গ্রুপটি প্রসারিত হয়েছে বাংলাদেশ, থাইল্যান্ড, শ্রীলঙ্কা, ফিলিপাইন, আর্জেন্টিনা, সংযুক্ত আরব আমিরাত এবং গ্রেট ব্রিটেন - বিভিন্ন মহাদেশে বিস্তৃত লক্ষ্যগুলির একটি বিস্তৃত পরিসর অন্তর্ভুক্ত করার জন্য এর কার্যক্রম। শুরু থেকেই, তাদের প্রধান ফোকাস দক্ষিণ এশিয়া অঞ্চল এবং পাকিস্তান, ভারত এবং কাশ্মীর সংকট , আরও নির্দিষ্টভাবে রয়ে গেছে।

গ্রুপের প্রধান বিশেষত্ব হল সাইবার গুপ্তচরবৃত্তি এবং তথ্য চুরি করা। DoNot APT তার নিজস্ব ম্যালওয়্যার টুল তৈরির সমন্বয়ে একটি হুমকিমূলক অস্ত্রাগার ব্যবহার করে। বেশিরভাগ প্রচারাভিযানে একটি জটিল অ্যাটাচ চেইন থাকে যেটিতে বেশ কিছু লোডার জড়িত থাকে এবং চূড়ান্ত ম্যালওয়্যার পেলোড ডেলিভারির আগে একাধিক ধাপ অতিক্রম করে। DoNot হ্যাকাররাও তাদের ম্যালওয়্যার সরঞ্জামগুলি উদ্ভাবন এবং উন্নত করার ক্ষমতা প্রদর্শন করেছে, ক্রমাগত তাদের নতুন কার্যকারিতা দিয়ে সজ্জিত করে বা আরও পরিশীলিত কৌশলগুলির সুবিধা গ্রহণ করে৷

এর বেশিরভাগ আক্রমণে, DoNot APT হ্যাকাররা DigitalOcean, LLC (ASN 14061) থেকে ভাড়া নেওয়া কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভার ব্যবহার করে এবং আমস্টারডামে অবস্থিত। প্রতিটি নতুন ডোমেইন নামের জন্য, একটি নতুন বরাদ্দ করা হোস্ট সংরক্ষিত হচ্ছে।

কাস্টম ম্যালওয়্যার জড়িত জটিল আক্রমণ

চূড়ান্ত না হলেও, যথেষ্ট পরিস্থিতিগত প্রমাণ রয়েছে যে গ্রুপের প্রাথমিক আপস ভেক্টর হল অফিস ওপেন XML ফর্ম্যাটে এমএস ওয়ার্ড নথি বহনকারী ফিশিং ইমেলগুলির প্রচার। প্রাথমিক নথিটি হুমকি নয়, তবে এটি আক্রমণ শৃঙ্খলের পরবর্তী পর্যায়ে শুরু করার জন্য বহিরাগত উপাদানগুলির অটোলোডিং কার্যকারিতাকে অপব্যবহার করে।

প্রক্রিয়া চলাকালীন বেশ কিছু লোডার আপোসকৃত সিস্টেমে ফেলে দেওয়া হয়, প্রতিটিকে আলাদা উদ্দেশ্য নিয়ে কাজ করা হয়। উদাহরণস্বরূপ, একটি নির্দিষ্ট প্রচারাভিযানে, Serviceflow.exe ট্রোজান একটি ওয়াচডগ হিসাবে কাজ করে নিম্নলিখিত তথ্য সংগ্রহ ও সংরক্ষণ করে - ব্যবহারকারী এবং কম্পিউটারের নাম, OS সংস্করণ, প্রসেসরের বিবরণ, \Program Files এবং \Program Files (86)\ বিষয়বস্তুর বিবরণ। এটি A64.dll এবং sinter.exe ফাইলগুলি ডাউনলোড এবং স্থাপন করার জন্যও দায়ী৷ সিন্টার আরেকটি ট্রোজান, কিন্তু এর কার্যকারিতা উল্লেখযোগ্যভাবে ভিন্ন। এটি একটি নির্দিষ্ট URL-এ একটি অনুরোধ পাঠানোর মাধ্যমে বর্তমান সংক্রমণ সম্পর্কে হুমকি অভিনেতাদের অবহিত করে এবং সেইসঙ্গে আপোসকৃত সিস্টেম সম্পর্কে সংগৃহীত তথ্যকে 'স্কিলসনিউ[.]টপ'-এ তুলে দেয়। তথ্যটি হ্যাকারদের লক্ষ্যটি আরও শোষণের যোগ্য কিনা তা নির্ধারণ করতে সহায়তা করার উদ্দেশ্যে।

ম্যালওয়্যার সরঞ্জামগুলির ধ্রুবক বিকাশ

DoNot APT বহুবার প্রদর্শন করেছে যে পুনরাবৃত্তি এবং উন্নতির উপর তার অবিরত ফোকাস। গ্রুপ দ্বারা নিযুক্ত বিভিন্ন লোডার সংস্করণে প্রচেষ্টাগুলি সহজেই দেখা যায়। আগের সংস্করণগুলিতে, 2018-এর মাঝামাঝি আগে, সমস্ত ব্যবহৃত স্ট্রিংগুলি ক্লিয়ারটেক্সটে সংরক্ষণ করা হয়েছিল, যখন পরবর্তী সংস্করণগুলিতে, বিভিন্ন স্তরের এনক্রিপশন চালু করা শুরু হয়েছিল:

• মে 2018 - বেস64 এর সাথে এনকোড করা হয়েছে
• এপ্রিল 2019 - ডাবল বেস64 এনকোডিং
• জানুয়ারী 2019 - CBS মোডে AES অ্যালগরিদমের সাথে এনক্রিপশন যার পরে Base64 এনকোডিং।
• জুন 2019 - বাইটের সেট অ্যারে সহ প্রতীক-দ্বারা-প্রতীক বৃত্তাকার বিয়োগ, UTF-8 দিয়ে এনকোড এবং বেস64 এনকোডিং অনুসরণ করে
• অক্টোবর 2019 - বাইটের সেট অ্যারে সহ প্রতীক-বাই-প্রতীক বৃত্তাকার পরিবর্তিত XOR, তারপরে ডবল বেস64 এনকোডিং

DoNot APT দ্বারা পরিচালিত সাম্প্রতিক পর্যবেক্ষণে, গ্রুপটি Firestarter Trojan নামে একটি নতুন Android ম্যালওয়্যার লোডার স্থাপন করেছে। ম্যালওয়্যার হুমকিটি Google-এর একটি সহায়ক সংস্থা দ্বারা সরবরাহ করা Firebase ক্লাউড মেসেজিং (FCM) নামে একটি বৈধ পরিষেবার অপব্যবহার করার জন্য ডিজাইন করা হয়েছিল৷ পরিষেবাটি Android, iOS এবং অন্যান্য ওয়েব অ্যাপ্লিকেশনগুলির জন্য বার্তা এবং বিজ্ঞপ্তিগুলির জন্য একটি ক্রস-প্ল্যাটফর্ম ক্লাউড সমাধান উপস্থাপন করে।

ফায়ারস্টার্টার লোডার তার C2 সার্ভারের সাথে যোগাযোগের পদ্ধতি হিসাবে FCM কে ব্যবহার করেছে। একটি কার্যকরী পরিষেবার ব্যবহার অস্বাভাবিক ট্র্যাফিক সনাক্তকরণকে আরও কঠিন করে তোলে, কারণ এটি উত্পন্ন অন্যান্য সাধারণ যোগাযোগের সাথে মিশ্রিত হয়।