FINALDRAFT ব্যাকডোর

জুয়েলবাগ নামে পরিচিত এই হুমকি অভিনেতা জুলাই ২০২৫ সাল থেকে ইউরোপীয় সরকারি সংস্থাগুলির উপর তার মনোযোগ আরও জোরদার করেছে, যদিও দক্ষিণ-পূর্ব এশিয়া এবং দক্ষিণ আমেরিকার লক্ষ্যবস্তুগুলির বিরুদ্ধে এখনও সক্রিয় অভিযান চালিয়ে যাচ্ছে। গবেষকরা এই কার্যকলাপ গোষ্ঠীটিকে ইঙ্ক ড্রাগন হিসাবে ট্র্যাক করেন, একটি গোষ্ঠী যা বৃহত্তর নিরাপত্তা সম্প্রদায়ে CL-STA-0049, Earth Alux এবং REF7707 নামেও পরিচিত। অভিনেতাটিকে চীন-সংযুক্ত বলে মূল্যায়ন করা হয় এবং কমপক্ষে মার্চ ২০২৩ সাল থেকে টেকসই কার্যকলাপ প্রদর্শন করেছে।

একাধিক পরিচয়, একটি সমন্বিত ক্লাস্টার

ইঙ্ক ড্রাগনের প্রচারণাগুলি একটি পরিপক্ক এবং সুশৃঙ্খল অনুপ্রবেশ ক্ষমতা প্রতিফলিত করে। এর অপারেটররা শক্তিশালী সফ্টওয়্যার ইঞ্জিনিয়ারিং দক্ষতাকে পুনরাবৃত্তিযোগ্য অপারেশনাল প্লেবুকের সাথে একত্রিত করে, প্রায়শই বিল্ট-ইন প্ল্যাটফর্ম ইউটিলিটির উপর নির্ভর করে বৈধ এন্টারপ্রাইজ টেলিমেট্রিতে দূষিত কার্যকলাপকে মিশ্রিত করে। এই ইচ্ছাকৃত ট্রেডক্রাফ্ট উল্লেখযোগ্যভাবে স্টিলথ বৃদ্ধি করে এবং সনাক্তকরণকে জটিল করে তোলে।

পরিধি, লক্ষ্যমাত্রা এবং চলমান প্রভাব

এই প্রচারণাটি এখনও সক্রিয় রয়েছে এবং ইতিমধ্যেই কয়েক ডজন ক্ষতিগ্রস্ত ব্যক্তিকে প্রভাবিত করেছে। প্রভাবিত সংস্থাগুলি ইউরোপ, এশিয়া এবং আফ্রিকা জুড়ে সরকারি সংস্থা এবং টেলিযোগাযোগ সরবরাহকারীদের অন্তর্ভুক্ত করে। ক্ষতিগ্রস্তদের বিস্তৃতি অভিনেতার অবকাঠামোর স্কেলেবিলিটি এবং উচ্চ-মূল্যের নেটওয়ার্কগুলিতে এর কৌশলগত আগ্রহ উভয়কেই তুলে ধরে।

প্রাথমিক দৃশ্যমানতা এবং মূল ম্যালওয়্যার পরিবার

২০২৫ সালের ফেব্রুয়ারিতে ইঙ্ক ড্রাগন সম্পর্কে জনসাধারণের অন্তর্দৃষ্টি প্রকাশ পায়, যখন গবেষকরা FINALDRAFT ব্যাকডোর, যা স্কুইডোর নামেও পরিচিত, এর ব্যবহার নথিভুক্ত করেন। এই ম্যালওয়্যারটি উইন্ডোজ এবং লিনাক্স উভয় পরিবেশকেই সমর্থন করে। অতি সম্প্রতি, এই গোষ্ঠীটি একটি রাশিয়ান আইটি পরিষেবা প্রদানকারীর বিরুদ্ধে দীর্ঘ পাঁচ মাসের অনুপ্রবেশের সাথে যুক্ত ছিল, যা দীর্ঘমেয়াদী, গোপন অ্যাক্সেস বজায় রাখার ক্ষমতা তুলে ধরে।

প্রাথমিক অ্যাক্সেস এবং পেলোড ডেলিভারি

ইঙ্ক ড্রাগন সাধারণত দুর্বল, ইন্টারনেট-মুখী ওয়েব অ্যাপ্লিকেশনগুলিকে কাজে লাগিয়ে প্রবেশাধিকার লাভ করে। এই দুর্বলতাগুলিকে ওয়েব শেল স্থাপনের জন্য ব্যবহার করা হয়, যা পরে VARGEIT এবং Cobalt Strike এর মতো অতিরিক্ত সরঞ্জামের জন্য লঞ্চ পয়েন্ট হিসাবে কাজ করে। এই পেলোডগুলি কমান্ড-এন্ড-কন্ট্রোল যোগাযোগ, অভ্যন্তরীণ পুনরুদ্ধার, পার্শ্বীয় চলাচল, প্রতিরক্ষা এড়ানো এবং ডেটা চুরি সমর্থন করে।

ক্লাউড এবং বৈধ পরিষেবার অপব্যবহার

গ্রুপের সেকেন্ডারি ব্যাকডোরগুলির মধ্যে রয়েছে ন্যানোরেমোট, যা সংক্রামিত হোস্ট এবং আক্রমণকারী-নিয়ন্ত্রিত অবকাঠামোর মধ্যে ফাইল বিনিময়ের জন্য গুগল ড্রাইভ এপিআই ব্যবহার করে। টুল নির্বাচন ইচ্ছাকৃত এবং পরিস্থিতিগত বলে মনে হয়, যা পরামর্শ দেয় যে অপারেটররা ভিকটিম পরিবেশের সাথে মানানসই স্থাপনা তৈরি করে এবং স্বাভাবিক, বিশ্বস্ত ট্র্যাফিক প্যাটার্নের মতো কৌশলগুলিকে পছন্দ করে।

ভিউস্টেট শোষণ এবং সি২ অবকাঠামো ছিনতাই

ইঙ্ক ড্রাগনের প্লেবুকের একটি সংজ্ঞায়িত কৌশল হল দুর্বল বা অব্যবস্থাপিত ASP.NET মেশিন কীগুলিকে কাজে লাগানো। IIS এবং SharePoint সার্ভারগুলিতে ViewState ডিসিরিয়ালাইজেশন ত্রুটিগুলির অপব্যবহার করে, অভিনেতা একটি কাস্টম ShadowPad IIS Lisner মডিউল ইনস্টল করে। এটি আপোস করা সার্ভারগুলিকে আক্রমণকারীর কমান্ড-এন্ড-কন্ট্রোল নেটওয়ার্কের সক্রিয় উপাদানগুলিতে রূপান্তরিত করে, তাদের প্রক্সি ট্র্যাফিক এবং কমান্ডগুলিতে সক্ষম করে এবং উল্লেখযোগ্যভাবে স্থিতিস্থাপকতা বৃদ্ধি করে।

স্থানীয় লঙ্ঘন থেকে গ্লোবাল রিলে নেটওয়ার্ক পর্যন্ত

এই স্থাপত্যের মাধ্যমে ট্র্যাফিক কেবল একটি প্রতিষ্ঠানের গভীরে নয়, সম্পূর্ণ পৃথক ভিকটিম নেটওয়ার্কের মধ্যেও পাঠানো সম্ভব। ফলস্বরূপ, একটি আপোস করা সার্ভার নীরবে একটি বৃহত্তর, বহু-স্তরযুক্ত অবকাঠামোতে মধ্যস্থতাকারী হয়ে উঠতে পারে। শ্রোতা মডিউল নিজেই রিমোট কমান্ড এক্সিকিউশন সমর্থন করে, যা অপারেটরদের রিকনেসান্স এবং পেলোড স্টেজিংয়ের জন্য সরাসরি নিয়ন্ত্রণ দেয়।

শোষণ-পরবর্তী এবং বিশেষাধিকার বৃদ্ধির কৌশল

ভিউস্টেটের অপব্যবহারের বাইরে, ইঙ্ক ড্রাগন ওয়েব শেল স্থাপনের জন্য টুলশেল শেয়ারপয়েন্টের দুর্বলতাগুলিকে অস্ত্র হিসেবে ব্যবহার করেছে। প্রাথমিক আপস করার পরে, অভিনেতা সাধারণত অ্যাক্সেস জোরদার করতে এবং বিশেষাধিকার বৃদ্ধি করতে বেশ কয়েকটি পদক্ষেপ নেয়:

• স্থানীয় প্রশাসনিক শংসাপত্রগুলি পেতে এবং RDP টানেলের মাধ্যমে পার্শ্বীয়ভাবে স্থানান্তর করতে IIS মেশিন কীগুলি ব্যবহার করা
• নির্ধারিত কাজ এবং ক্ষতিকারক পরিষেবার মাধ্যমে স্থিরতা প্রতিষ্ঠা করা
• LSASS মেমরি ডাম্প করা এবং সুবিধা বৃদ্ধির জন্য রেজিস্ট্রি হাইভ বের করা
• আউটবাউন্ড ট্র্যাফিকের অনুমতি দিতে এবং সিস্টেমগুলিকে শ্যাডোপ্যাড রিলে নোডে রূপান্তর করতে হোস্ট ফায়ারওয়াল নিয়ম পরিবর্তন করা হচ্ছে

উন্নত শংসাপত্র পুনঃব্যবহার এবং ডোমেন আপস

অন্তত একটি পর্যবেক্ষণকৃত ক্ষেত্রে, আক্রমণকারীরা NTLMv2 ফলব্যাকের মাধ্যমে নেটওয়ার্ক লেভেল অথেনটিকেশনের মাধ্যমে প্রমাণীকরণ করা একটি ডোমেন অ্যাডমিনিস্ট্রেটরের একটি সংযোগ বিচ্ছিন্ন কিন্তু সক্রিয় RDP সেশন সনাক্ত করেছে। যেহেতু সেশনটি লগ অফ ছিল কিন্তু বন্ধ করা হয়নি, তাই সংবেদনশীল শংসাপত্র উপাদান LSASS মেমরিতে টিকে ছিল। SYSTEM-স্তরের অ্যাক্সেস পাওয়ার পর, Ink Dragon টোকেনটি বের করে এবং প্রমাণীকরণকৃত SMB অপারেশন পরিচালনা, প্রশাসনিক শেয়ারে লেখা এবং NTDS.dit এবং রেজিস্ট্রি হাইভ এক্সফিল্ট্রেট করার জন্য এটি পুনরায় ব্যবহার করে।

একটি মডুলার পারসিস্টেন্স ইকোসিস্টেম

একটি একক ব্যাকডোরের উপর নির্ভর করার পরিবর্তে, ইঙ্ক ড্রাগন দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখার জন্য বিশেষায়িত উপাদানগুলির একটি সংগ্রহ ব্যবহার করে। পর্যবেক্ষণকৃত সরঞ্জামগুলির মধ্যে রয়েছে:

• মেমরিতে ShadowPad কোর মডিউল ডিক্রিপ্ট এবং কার্যকর করার জন্য ShadowPad লোডার

• CDBLoader, যা শেলকোড কার্যকর করতে এবং এনক্রিপ্ট করা পেলোড লোড করতে মাইক্রোসফটের কনসোল ডিবাগারের অপব্যবহার করে

• LSASS মেমরি বের করার জন্য লালসডাম্পার

• 032 অতিরিক্ত পেলোড ডিক্রিপ্ট এবং চালানোর জন্য লোডার

• FINALDRAFT, একটি আধুনিক দূরবর্তী প্রশাসন সরঞ্জাম যা কমান্ড-এন্ড-কন্ট্রোলের জন্য Outlook এবং Microsoft Graph এর অপব্যবহার করে।

ফাইনালড্রাফ্টের বিবর্তন

গ্রুপটি সম্প্রতি একটি নতুন FINALDRAFT ভেরিয়েন্ট মোতায়েন করেছে যা বৃহত্তর গোপনীয়তা এবং দ্রুত ডেটা এক্সফিল্ট্রেশনের জন্য ডিজাইন করা হয়েছে। এটি উন্নত ফাঁকি পদ্ধতি প্রবর্তন করে, বহু-পর্যায়ের পেলোড ডেলিভারি সমর্থন করে এবং গোপন পার্শ্বীয় চলাচল সক্ষম করে। কমান্ডগুলি এনকোডেড নথি হিসাবে সরবরাহ করা হয় যা শিকারের মেলবক্সে স্থাপন করা হয়, যা ইমপ্লান্ট একটি মডুলার কমান্ড ফ্রেমওয়ার্কের মাধ্যমে পুনরুদ্ধার করে, ডিক্রিপ্ট করে এবং কার্যকর করে।

অন্যান্য হুমকি অভিনেতাদের সাথে ওভারল্যাপ করুন

তদন্তকারীরা ইঙ্ক ড্রাগনের দ্বারা আক্রান্ত বেশ কয়েকটি পরিবেশে চীন-সমর্থিত আরেকটি গোষ্ঠী, REF3927, যা রুডপান্ডা নামেও পরিচিত, এর চিহ্নও শনাক্ত করেছেন। উভয়ের মধ্যে সমন্বয়ের কোনও প্রমাণ নেই এবং ধারণা করা হচ্ছে যে উভয় পক্ষই অবকাঠামো বা ক্রিয়াকলাপ ভাগ করে নেওয়ার পরিবর্তে একই ধরণের প্রাথমিক অ্যাক্সেস ভেক্টর ব্যবহার করে এই ওভারল্যাপের উদ্ভব হয়েছে।

ডিফেন্ডারদের জন্য একটি নতুন হুমকি মডেল

ইঙ্ক ড্রাগন সংক্রামিত হোস্ট এবং কমান্ড অবকাঠামোর মধ্যে ঐতিহ্যবাহী রেখাটি অস্পষ্ট করে দেয়। প্রতিটি আপোস করা সিস্টেম আক্রমণকারী-নিয়ন্ত্রিত জালে একটি কার্যকরী নোডে পরিণত হয় যা প্রতিটি নতুন শিকারের সাথে প্রসারিত হয়। ডিফেন্ডারদের জন্য, এর অর্থ হল নিয়ন্ত্রণ কেবল পৃথক সিস্টেমের উপর ফোকাস করতে পারে না। কার্যকর ব্যাঘাতের জন্য সম্পূর্ণ রিলে চেইন সনাক্তকরণ এবং ভেঙে ফেলা প্রয়োজন। ইঙ্ক ড্রাগনের শ্যাডোপ্যাডের রিলে-কেন্দ্রিক ব্যবহার এখন পর্যন্ত পরিলক্ষিত সবচেয়ে পরিপক্ক বাস্তবায়নগুলির মধ্যে একটি, কার্যকরভাবে ভিকটিম নেটওয়ার্কগুলিকে দীর্ঘমেয়াদী, বহু-সাংগঠনিক গুপ্তচরবৃত্তি প্রচারণার মেরুদণ্ডে পরিণত করে।