ডপলাগস ব্যাকডোর

মুস্তাং পান্ডা, চীনের সাথে সম্পর্কযুক্ত একজন হুমকি অভিনেতা, বেশ কয়েকটি এশীয় দেশকে টার্গেট করার জন্য প্লাগএক্স ( করপ্লাগ নামেও পরিচিত) ব্যাকডোরে একটি কাস্টমাইজড বৈকল্পিক ব্যবহার করেছে, যা ডপলাগস নামে পরিচিত। প্লাগএক্স ম্যালওয়্যারের এই উপযোগী সংস্করণটি একটি সম্পূর্ণ সমন্বিত ব্যাকডোর কমান্ড মডিউলের অভাবের দ্বারা সাধারণ বৈকল্পিক থেকে আলাদা; পরিবর্তে, এটি বিশেষভাবে পরবর্তী মডিউল ডাউনলোড করার জন্য ডিজাইন করা হয়েছে। DOPLUGS আক্রমণের প্রাথমিক ফোকাস তাইওয়ান এবং ভিয়েতনামে অবস্থিত লক্ষ্যবস্তুতে, হংকং, ভারত, জাপান, মালয়েশিয়া, মঙ্গোলিয়া এবং এমনকি চীনেও কম ঘটনা ঘটেছে।

মুস্তাং পান্ডা এক দশকেরও বেশি সময় ধরে সক্রিয় ছিল বলে বিশ্বাস করা হয়

মুস্তাং পান্ডা, বিভিন্ন উপনাম দ্বারাও পরিচিত, যেমন বেসিন, ব্রোঞ্জ প্রেসিডেন্ট, ক্যামারো ড্রাগন, আর্থ প্রেটা, হানিমাইট, রেডডেল্টা, রেড লিচ, স্টেটলি টরাস, TA416, এবং TEMP৷ হেক্স একটি মূল হাতিয়ার হিসাবে PlugX এর ব্যবহারের উপর অনেক বেশি নির্ভর করে . এই হুমকি অভিনেতা কমপক্ষে 2012 সাল থেকে সক্রিয় ছিল, যদিও এর কার্যক্রম 2017 সালে জনসাধারণের দৃষ্টি আকর্ষণ করেছিল।

Mustang Panda-এর মোডাস অপারেন্ডির মধ্যে রয়েছে কাস্টম ম্যালওয়্যারের একটি পরিসর সরবরাহ করার জন্য ডিজাইন করা বর্শা-ফিশিং প্রচারাভিযানগুলি অত্যন্ত যত্ন সহকারে তৈরি করা। 2018 সাল থেকে, হুমকি অভিনেতা RedDelta , Thor, Hodur এবং DOPLUGS (SmugX নামে একটি প্রচারণার মাধ্যমে বিতরণ করা) সহ PlugX এর নিজস্ব কাস্টমাইজড সংস্করণ স্থাপন করতে পরিচিত।

Mustang পান্ডা দ্বারা সংগঠিত আপস চেইন পরিশীলিত কৌশল একটি সিরিজ নিয়োগ. এর মধ্যে একটি প্রথম পর্যায়ের পেলোডের জন্য ডেলিভারি মেকানিজম হিসেবে ফিশিং বার্তা ব্যবহার করা অন্তর্ভুক্ত। এই পেলোড, প্রাপকের কাছে একটি ডিকয় নথি উপস্থাপন করার সময়, গোপনে একটি বৈধ, স্বাক্ষরিত এক্সিকিউটেবল আনপ্যাক করে যা DLL সাইড-লোডিংয়ের জন্য সংবেদনশীল। এই DLL সাইড-লোডিং কৌশলটি তখন একটি ডায়নামিক-লিঙ্ক লাইব্রেরি (DLL) লোড করার জন্য নিযুক্ত করা হয়, যা PlugX ম্যালওয়্যারকে ডিক্রিপ্ট করে এবং এক্সিকিউট করে।

একবার স্থাপন করা হলে, PlugX ম্যালওয়্যারটি Poison Ivy Remote Access Trojan (RAT) বা কোবাল্ট স্ট্রাইক বীকন পুনরুদ্ধার করতে এগিয়ে যায়, Mustang Panda দ্বারা নিয়ন্ত্রিত একটি সার্ভারের সাথে একটি সংযোগ স্থাপন করে। ক্রিয়াগুলির এই জটিল ক্রমটি Mustang Panda এর সাইবার অপারেশনগুলির উন্নত এবং অবিরাম প্রকৃতিকে হাইলাইট করে৷

ডপলাগস ব্যাকডোর হল সাইবার অপরাধী গ্রুপের ম্যালওয়্যার আর্সেনালের একটি নতুন সংযোজন

প্রাথমিকভাবে 2022 সালের সেপ্টেম্বরে গবেষকদের দ্বারা পর্যবেক্ষণ করা হয়েছে, DOPLUGS চারটি স্বতন্ত্র ব্যাকডোর কমান্ড দিয়ে সজ্জিত একটি ডাউনলোডার হিসাবে কাজ করে। উল্লেখযোগ্যভাবে, এই কমান্ডগুলির মধ্যে একটি PlugX ম্যালওয়্যারের প্রচলিত সংস্করণ ডাউনলোডের সুবিধার্থে ডিজাইন করা হয়েছে।

নিরাপত্তা বিশেষজ্ঞরা DOPLUGS-এর ভিন্নতাও শনাক্ত করেছেন যা KillSomeOne নামক একটি মডিউলকে অন্তর্ভুক্ত করে। এই প্লাগইনটি ইউএসবি ড্রাইভের মাধ্যমে ম্যালওয়্যার বিতরণ, তথ্য সংগ্রহ এবং নথি চুরি সহ একাধিক উদ্দেশ্যে কাজ করে।

DOPLUGS-এর এই বিশেষ রূপটিতে একটি অতিরিক্ত লঞ্চার উপাদান রয়েছে। এই উপাদানটি একটি বৈধ নির্বাহযোগ্য, DLL সাইড-লোডিং কৌশল নিযুক্ত করে। অধিকন্তু, এটি কমান্ড এক্সিকিউশন এবং হুমকি অভিনেতা দ্বারা নিয়ন্ত্রিত একটি সার্ভার থেকে পরবর্তী পর্যায়ের ম্যালওয়্যার ডাউনলোড করার মতো কার্যকারিতাগুলিকে সমর্থন করে৷

KillSomeOne মডিউল সমন্বিত একটি কাস্টম-মেড প্লাগএক্স ভেরিয়েন্ট, বিশেষভাবে ইউএসবি ড্রাইভের মাধ্যমে প্রচারের জন্য ডিজাইন করা হয়েছে, ইনফোসেক গবেষকরা জানুয়ারী 2020 এর প্রথম দিকে উন্মোচিত হয়েছিল। ম্যালওয়্যারটি হংকং এবং ভিয়েতনামকে লক্ষ্য করে ধারাবাহিক আক্রমণের অংশ হিসাবে মোতায়েন করা হয়েছিল।

2023-এর শেষে, তাইওয়ানের রাজনৈতিক, কূটনৈতিক এবং সরকারী সংস্থাগুলিকে DOPLUGS ব্যবহার করার লক্ষ্যে একটি Mustang Panda প্রচারাভিযান প্রকাশ করা হয়েছিল। আক্রমণ অপারেশন একটি স্বতন্ত্র বৈশিষ্ট্য প্রদর্শন করেছিল - ক্ষতিকারক DLL নিম প্রোগ্রামিং ভাষা ব্যবহার করে তৈরি করা হয়েছিল। এর পূর্বসূরীদের থেকে ভিন্ন, এই নতুন বৈকল্পিকটি PlugX ডিক্রিপ্ট করার জন্য RC4 অ্যালগরিদমের একটি অনন্য বাস্তবায়ন নিযুক্ত করে, যা পূর্ববর্তী সংস্করণে Windows Cryptsp.dll লাইব্রেরির প্রচলিত ব্যবহার থেকে সরে আসে।