ফেডস্টিলার
হ্যাকিং গ্রুপ APT37 এছাড়াও StarCruft, Reaper, বা RedEyes নামে পরিচিত, সম্প্রতি FadeStealer নামে একটি নতুন আবিষ্কৃত তথ্য-চুরিকারী ম্যালওয়্যার ব্যবহার করে লক্ষ্য করা গেছে। এই অত্যাধুনিক ম্যালওয়্যারটি একটি 'ওয়্যারট্যাপিং' ক্ষমতাকে অন্তর্ভুক্ত করে, যা হুমকি অভিনেতাদের ভিকটিমদের মাইক্রোফোন থেকে গোপনে অডিও আটকাতে এবং রেকর্ড করতে সক্ষম করে।
APT37 কে উত্তর কোরিয়ার স্বার্থের সাথে সংযুক্ত সাইবার গুপ্তচরবৃত্তি পরিচালনার একটি উল্লেখযোগ্য ট্র্যাক রেকর্ড সহ একটি রাষ্ট্র-স্পন্সরড হ্যাকিং গ্রুপ বলে ব্যাপকভাবে বিশ্বাস করা হয়। তাদের লক্ষ্যবস্তুর মধ্যে রয়েছে উত্তর কোরিয়ার দলত্যাগী, শিক্ষা প্রতিষ্ঠান এবং ইউরোপীয় ইউনিয়ন ভিত্তিক সংস্থাগুলি।
পূর্ববর্তী প্রচারাভিযানে, এই গ্রুপটি তাদের সাইবার আক্রমণ চালানোর জন্য 'ডলফিন' এবং ' M2RAT'- এর মতো কাস্টম-মেড ম্যালওয়্যার নিয়োগ করেছে। এই হুমকিমূলক সরঞ্জামগুলি বিশেষভাবে সংযুক্ত মোবাইল ফোন সহ উইন্ডোজ ডিভাইসগুলিতে অনুপ্রবেশ করার জন্য ডিজাইন করা হয়েছে এবং বিভিন্ন দূষিত ক্রিয়াকলাপ যেমন কমান্ড কার্যকর করা, ডেটা চুরি, শংসাপত্র সংগ্রহ এবং স্ক্রিনশট ক্যাপচার করা।
একটি কাস্টম ব্যাকডোর ম্যালওয়্যার ফেডস্টিলার হুমকি প্রদান করে
নিরাপত্তা গবেষকরা সম্প্রতি APT37 দ্বারা আক্রমণে ব্যবহৃত আরেকটি কাস্টম ম্যালওয়্যার সম্পর্কে বিশদ উন্মোচন করেছেন, যা AblyGo ব্যাকডোর নামে পরিচিত। FadeStealer-এর পাশাপাশি, এই অবাঞ্ছিত টুলগুলি টার্গেট করা সিস্টেমে অনুপ্রবেশ করতে এবং বিভিন্ন ক্ষতিকারক কার্যকলাপের সুবিধার্থে ডিজাইন করা হয়েছে।
এই ম্যালওয়্যারের প্রাথমিক ডেলিভারি পদ্ধতিতে ফিশিং ইমেলগুলি জড়িত যা সংযুক্ত আর্কাইভগুলি ধারণ করে৷ এই সংরক্ষণাগারগুলিতে একটি 'password.chm' Windows CHM ফাইল সহ পাসওয়ার্ড-সুরক্ষিত ওয়ার্ড এবং হাঙ্গুল ওয়ার্ড প্রসেসর ডকুমেন্ট (.docx এবং .hwp ফাইল) রয়েছে। এটা খুবই সম্ভব যে ফিশিং ইমেলগুলি প্রাপকদের নথিগুলি আনলক করার জন্য প্রয়োজনীয় পাসওয়ার্ড পেতে CHM ফাইলটি খুলতে নির্দেশ দেয়৷ যাইহোক, ভুক্তভোগীদের অজানা, এই ক্রিয়াটি তাদের উইন্ডোজ ডিভাইসে সংক্রমণ প্রক্রিয়াকে ট্রিগার করে।
CHM ফাইলটি খোলার পরে, একটি প্রতারণামূলক প্রম্পট নথিগুলি আনলক করার জন্য অভিযুক্ত পাসওয়ার্ড প্রদর্শন করবে। একই সাথে, ফাইলটি বুদ্ধিমানের সাথে একটি দূরবর্তী PowerShell স্ক্রিপ্ট ডাউনলোড এবং কার্যকর করে, যা উন্নত কার্যকারিতা সহ একটি ব্যাকডোর হিসাবে কাজ করে। এই PowerShell ব্যাকডোর আক্রমণকারীদের কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে, তাদেরকে দূরবর্তীভাবে আপোসকৃত সিস্টেমে কমান্ড কার্যকর করতে সক্ষম করে।
উপরন্তু, ব্যাকডোর আক্রমণের পরবর্তী পর্যায়ে 'AblyGo ব্যাকডোর' নামে পরিচিত একটি অতিরিক্ত ব্যাকডোর স্থাপনের সুবিধা দেয়। এই নতুন ব্যাকডোরটি অ্যাবলি প্ল্যাটফর্ম, একটি API পরিষেবার সুবিধা দেয় যা বিকাশকারীরা তাদের অ্যাপ্লিকেশনগুলিতে রিয়েল-টাইম বৈশিষ্ট্য এবং তথ্য সরবরাহ অন্তর্ভুক্ত করতে ব্যবহার করে। অ্যাবলি প্ল্যাটফর্মকে একটি C2 প্ল্যাটফর্ম হিসাবে ব্যবহার করে, হুমকি অভিনেতারা বেস64-এনকোডেড কমান্ডগুলি সম্পাদনের জন্য ব্যাকডোরে পাঠাতে পারে এবং আউটপুট গ্রহণ করতে পারে। এই পদ্ধতিটি তাদের বৈধ নেটওয়ার্ক ট্র্যাফিকের মধ্যে তাদের দূষিত ক্রিয়াকলাপগুলিকে অস্পষ্ট করতে দেয়, এটি তাদের ক্রিয়াকলাপগুলি সনাক্ত করা এবং নিরীক্ষণ করা আরও চ্যালেঞ্জিং করে তোলে।
'AblyGo ব্যাকডোর' সাইবার গুপ্তচরবৃত্তি প্রচারে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে, হুমকি অভিনেতাদের সুযোগ-সুবিধা বৃদ্ধি করতে, সংবেদনশীল ডেটা অপসারণ করতে এবং অতিরিক্ত ম্যালওয়্যার উপাদান সরবরাহ করতে সক্ষম করে। অ্যাবলির মতো বৈধ প্ল্যাটফর্মগুলি ব্যবহার করে, হুমকি অভিনেতারা নেটওয়ার্ক পর্যবেক্ষণ এবং সুরক্ষা সফ্টওয়্যার এড়াতে লক্ষ্য রাখে, যার ফলে তাদের আক্রমণের কার্যকারিতা বৃদ্ধি পায়।
ফেডস্টিলার হুমকিতে পাওয়া হুমকির ক্ষমতা
পিছনের দরজাগুলি শেষ পর্যন্ত একটি চূড়ান্ত পেলোড হিসাবে ফেডস্টিলার সরবরাহ করে। হুমকি একটি অত্যন্ত শক্তিশালী তথ্য চুরিকারী ম্যালওয়্যার যা বিশেষভাবে উইন্ডোজ ডিভাইসের জন্য ডিজাইন করা হয়েছে। একবার ইন্সটল করার পর, FadeStealer ইন্টারনেট এক্সপ্লোরারের বৈধ 'ieinstall.exe' প্রক্রিয়ায় নিজেকে ইনজেক্ট করার জন্য DLL সাইডলোডিং নামে একটি কৌশল নিযুক্ত করে, কার্যকরভাবে এর উপস্থিতি ছমছম করে।
FadeStealer ব্যাকগ্রাউন্ডে গোপনে কাজ করে, বিচক্ষণতার সাথে আপোষকৃত ডিভাইস থেকে বিস্তৃত সংবেদনশীল তথ্য সংগ্রহ করে। 30 মিনিটের নিয়মিত বিরতিতে, ম্যালওয়্যার শিকারের স্ক্রীনের স্ক্রিনশট ক্যাপচার করে, লগ করা কীস্ট্রোক রেকর্ড করে এবং যেকোনো সংযুক্ত স্মার্টফোন বা অপসারণযোগ্য ডিভাইস থেকে ফাইল সংগ্রহ করে। উপরন্তু, FadeStealer ডিভাইসের মাইক্রোফোনের মাধ্যমে অডিও রেকর্ড করার ক্ষমতার অধিকারী, যা আক্রমণের পিছনে থাকা হুমকি অভিনেতাদের কথোপকথন শুনে এবং অতিরিক্ত বুদ্ধি সংগ্রহ করতে দেয়।
সংগৃহীত ডেটা নির্দিষ্ট %Temp% ফোল্ডারে সংরক্ষণ করা হয়, প্রতিটি ডেটা এক্সফিল্ট্রেশন প্রক্রিয়ার মধ্যে একটি স্বতন্ত্র উদ্দেশ্য পরিবেশন করে। ম্যালওয়্যার দ্বারা নেওয়া স্ক্রিনশটগুলি %temp%\VSTelems_Fade\NgenPdbc ফোল্ডারে সংরক্ষণ করা হয়, যখন লগ করা কীস্ট্রোকগুলি %temp%\VSTelems_Fade\NgenPdbk-এ সংরক্ষণ করা হয়। %temp%\VSTelems_Fade\NgenPdbm ফোল্ডারটি মাইক্রোফোন ওয়্যারট্যাপিংয়ের মাধ্যমে প্রাপ্ত ডেটা সংরক্ষণের জন্য নিবেদিত। উপরন্তু, %temp%\VSTelems_FadeIn ফোল্ডারটি সংযুক্ত স্মার্টফোন থেকে ডেটা সংগ্রহের জন্য ব্যবহার করা হয়, যখন %temp%\VSTelems_FadeOut ফোল্ডারটি অপসারণযোগ্য মিডিয়া ডিভাইসগুলি থেকে সংগ্রহ করা ডেটার জন্য স্টোরেজ অবস্থান হিসাবে কাজ করে। এই নির্দিষ্ট ফোল্ডারগুলি নিশ্চিত করে যে সংগৃহীত ডেটা সংগঠিত এবং সাইবার গুপ্তচরবৃত্তি অভিযান পরিচালনাকারী হুমকি অভিনেতাদের কাছে অ্যাক্সেসযোগ্য।
দক্ষতা বজায় রাখতে এবং ডেটা স্টোরেজ সহজতর করতে, FadeStealer RAR আর্কাইভ ফাইলগুলিতে চুরি করা তথ্য সংগ্রহ করে। এটি ম্যালওয়্যারকে চুরি করা ডেটা সংকুচিত করতে এবং সংগঠিত করতে সক্ষম করে, এটি নিশ্চিত করে যে এটি লুকানো থাকে এবং হুমকি অভিনেতাদের দ্বারা পরবর্তী উত্তোলনের জন্য সহজেই পরিবহনযোগ্য।
