EAGERBEE ম্যালওয়্যার
EAGERBEE ম্যালওয়্যার ফ্রেমওয়ার্কের একটি সদ্য আপডেট হওয়া সংস্করণ ইন্টারনেট পরিষেবা প্রদানকারী (ISPs) এবং মধ্যপ্রাচ্যের সরকারী সংস্থাগুলিকে লক্ষ্য করে লক্ষ্য করা গেছে৷
এই সর্বশেষ পুনরাবৃত্তি, যা Thumtais নামেও পরিচিত, এতে অনেকগুলি উপাদান রয়েছে যা এটিকে অতিরিক্ত পেলোড স্থাপন, ফাইল সিস্টেমগুলি অন্বেষণ করতে এবং কমান্ড শেলগুলি কার্যকর করতে সক্ষম করে। এই বর্ধনগুলি এর ক্ষমতাগুলির একটি উল্লেখযোগ্য অগ্রগতি চিহ্নিত করে৷
সুচিপত্র
মডুলার ডিজাইন এবং কার্যকরী বিভাগ
ব্যাকডোর কী প্লাগইনগুলির উপর নির্ভর করে, যেগুলি তাদের ফাংশনগুলির উপর ভিত্তি করে গোষ্ঠীভুক্ত করা যেতে পারে: প্লাগইন অর্কেস্ট্রেটর, ফাইল সিস্টেম ম্যানিপুলেশন, রিমোট অ্যাক্সেস ম্যানেজার, প্রসেস এক্সপ্লোরেশন, নেটওয়ার্ক সংযোগ তালিকা এবং পরিষেবা ব্যবস্থাপনা। সাইবারসিকিউরিটি গবেষকরা EAGERBEE কে কাফিংডাউন নামে পরিচিত একটি হুমকি গোষ্ঠীর সাথে মাঝারি আত্মবিশ্বাসের সাথে যুক্ত করেছেন।
প্রাথমিকভাবে, EAGERBEE REF5961 মনোনীত একটি রাষ্ট্র-স্পন্সর সাইবার-গুপ্তচরবৃত্তি গ্রুপের সাথে যুক্ত ছিল। এই ব্যাকডোর, যদিও টেকনিক্যালি সহজবোধ্য, SSL এনক্রিপশন সহ ফরোয়ার্ড এবং রিভার্স কমান্ড-এবং-কন্ট্রোল চ্যানেল উভয়কেই সমর্থন করে। এটি প্রাথমিকভাবে সিস্টেম পুনরুদ্ধার এবং শোষণ-পরবর্তী ক্রিয়াকলাপের জন্য অতিরিক্ত এক্সিকিউটেবল সরবরাহের সুবিধার্থে ডিজাইন করা হয়েছে।
গুপ্তচরবৃত্তি অপারেশন এবং ক্লাস্টার আলফা সংযোগ
পরে তদন্তে জানা যায় যে EAGERBEE-এর একটি পরিবর্তিত সংস্করণ সাইবার গুপ্তচরবৃত্তি প্রচারে মোতায়েন করা হয়েছিল, যাকে দায়ী করা হয়েছিল একটি চীনা রাষ্ট্র-অনুষঙ্গিক হুমকি অভিনেতাকে, যা ক্লাস্টার আলফা নামে পরিচিত। এই অপারেশনটির কোডনাম ক্রিমসন প্যালেস, যার লক্ষ্য দক্ষিণ-পূর্ব এশিয়ার একটি উচ্চ-প্রোফাইল সরকারী সংস্থা থেকে সংবেদনশীল রাজনৈতিক ও সামরিক গোয়েন্দা তথ্য সংগ্রহ করা।
ক্লাস্টার আলফা ব্যাকডোর ডিপ্লোম্যাসি , REF5961, Worok এবং TA428 সহ অন্যান্য সাইবার-গুপ্তচরবৃত্তি গোষ্ঠীর সাথে ওভারল্যাপ প্রদর্শন করে৷ উল্লেখযোগ্যভাবে, ব্যাকডোর ডিপ্লোম্যাসি ক্লাউড কম্পিউটেটিং (ফ্যাকিং ড্রাগনও বলা হয়) এর সাথে কৌশলগত বৈশিষ্ট্য শেয়ার করে, একটি চীনা-ভাষী সত্তা যা QSC নামে পরিচিত একটি মডুলার ম্যালওয়্যার ফ্রেমওয়ার্কের সাথে যুক্ত। দক্ষিণ এশিয়ায় টেলিকম খাতের বিরুদ্ধে সাইবার হামলায় এই কাঠামো পরিলক্ষিত হয়েছে।
ইন-মেমরি এক্সিকিউশন এবং স্টিলথ ক্ষমতা
QSC একটি মডুলার আর্কিটেকচার অনুসরণ করে যেখানে শুধুমাত্র প্রাথমিক লোডারটি ডিস্কে সংরক্ষণ করা হয়, যখন মূল এবং নেটওয়ার্ক উপাদানগুলি মেমরিতে থাকে। এই পদ্ধতি আক্রমণকারীদের গতিশীলভাবে তাদের উদ্দেশ্যের উপর ভিত্তি করে প্লাগইন লোড করতে দেয়।
সাম্প্রতিকতম EAGERBEE অনুপ্রবেশে, একটি ইনজেক্টর DLL ব্যাকডোর মডিউলটি চালায়। একবার সক্রিয় হয়ে গেলে, ব্যাকডোর সিস্টেমের বিবরণ সংগ্রহ করে এবং একটি TCP সকেটের মাধ্যমে একটি দূরবর্তী সার্ভারে প্রেরণ করে। এই ঘটনাগুলিতে প্রাথমিক অ্যাক্সেস পেতে ব্যবহৃত নির্দিষ্ট পদ্ধতিটি অস্পষ্ট রয়ে গেছে।
রিমোট সার্ভার প্লাগইন অর্কেস্ট্রেটর মোতায়েন করে সাড়া দেয়, যা ডোমেন NetBIOS নাম, মেমরি ব্যবহারের পরিসংখ্যান এবং সিস্টেম লোকেল সেটিংসের মতো সিস্টেমের বিবরণ পুনরুদ্ধার করে এবং রিপোর্ট করে। এটি আরও নির্দেশাবলীর জন্য অপেক্ষা করার সময় চলমান প্রক্রিয়াগুলির ডেটা সংগ্রহ করে, যার মধ্যে রয়েছে:
- মেমরিতে প্লাগইন ইনজেকশন করা
- নির্দিষ্ট প্লাগইনগুলি আনলোড করা বা তালিকা থেকে সমস্ত সাফ করা
- একটি প্লাগইন সক্রিয় কিনা তা যাচাই করা হচ্ছে
প্রতিটি প্লাগইন অর্কেস্ট্রেটরের কাছ থেকে কমান্ড কার্যকর করে, ফাইল ম্যানেজমেন্ট, প্রসেস কন্ট্রোল, রিমোট কানেক্টিভিটি, সিস্টেম সার্ভিস ওভারসাইট এবং নেটওয়ার্ক কানেকশন মনিটরিং করে।
দুর্বলতা এবং ক্রমাগত হুমকি শোষণ
গবেষকরা পূর্ব এশিয়ার একাধিক সংস্থা জুড়ে EAGERBEE সংক্রমণ শনাক্ত করেছেন, কমপক্ষে দুটি লঙ্ঘন প্রক্সিলগন দুর্বলতার সাথে যুক্ত (CVE-2021-26855)। এই ক্ষেত্রে, আক্রমণকারীরা আপোসকৃত সার্ভারগুলিতে কমান্ড কার্যকর করার জন্য ওয়েব শেল মোতায়েন করেছিল, যা শেষ পর্যন্ত ব্যাকডোর ইনস্টলেশনের দিকে পরিচালিত করে।
EAGERBEE প্রাথমিকভাবে একটি মেমরি-রেসিডেন্ট ফ্রেমওয়ার্ক হিসাবে কাজ করে, একটি নকশা যা প্রচলিত নিরাপত্তা সরঞ্জামগুলির দ্বারা সনাক্তকরণ এড়াতে এর ক্ষমতাকে উল্লেখযোগ্যভাবে বৃদ্ধি করে৷ বৈধ প্রক্রিয়ার মধ্যে অনিরাপদ কোড ইনজেকশনের মাধ্যমে, এটি তার কমান্ড শেল ক্রিয়াকলাপগুলিকে গোপন করে, স্বাভাবিক সিস্টেম ফাংশনগুলির সাথে নির্বিঘ্নে মিশ্রিত করে এবং এর আচরণ সনাক্ত এবং বিশ্লেষণ করার প্রচেষ্টাকে জটিল করে তোলে।