জেলসেমিয়াম এপিটি

জেলসেমিয়াম হল একটি এপিটি (অ্যাডভান্সড পারসিসটেন্স থ্রেট) গ্রুপ যা অন্তত 2014 সাল থেকে সক্রিয় রয়েছে। হ্যাকাররা মূলত পূর্ব এশিয়া এবং মধ্যপ্রাচ্য অঞ্চলে অবস্থিত লক্ষ্যবস্তুর বিরুদ্ধে একাধিক আক্রমণ অভিযান চালিয়েছে। তাদের সম্ভাব্য শিকারের মধ্যে রয়েছে বিভিন্ন উল্লম্বের বিস্তৃত পরিসরের সত্তা। এখন পর্যন্ত জেলসেমিয়াম এপিটি-এর শিকারদের মধ্যে রয়েছে সরকারি সংস্থা, ইলেকট্রনিক নির্মাতা, ধর্মীয় সংস্থা, পাশাপাশি বেশ কয়েকটি বিশ্ববিদ্যালয়।

ম্যালওয়্যার টুলকিট

জেলসেমিয়াম এপিটি গ্রুপ তাদের অপারেশনের জন্য একটি মাল্টি-স্টেজ অ্যাটাক চেইন প্রতিষ্ঠা করে। লক্ষ্যযুক্ত সিস্টেম লঙ্ঘন করার পরে, হ্যাকাররা জেলসেমিন নামে একটি ড্রপার ম্যালওয়্যার স্থাপন করে। এই ম্যালওয়্যার টাইপের জন্য ড্রপারটি অস্বাভাবিকভাবে বড় কিন্তু এতে আটটি এমবেডেড এক্সিকিউটেবল রয়েছে। বৃহৎ আকারটি একটি অত্যাধুনিক প্রক্রিয়াকে মিটমাট করার জন্য জেলসেমিন দ্বারা ব্যবহৃত হয় যা হুমকি অভিনেতাকে হুমকির আচরণ পরিবর্তন করতে দেয়। জেলসেমিয়াম এপিটি আপোসকৃত শিকারের আর্কিটেকচার অনুসারে ড্রপারকে সামঞ্জস্য করতে পারে - হয় 23-বিট বা 64-বিট, এবং ব্যবহারকারীর প্রশাসকের অধিকার আছে কি না।

পরবর্তী পর্যায়ের হুমকি হল জেলসেনিসিন। এর প্রধান কাজ হল Gelsevirine নামে একটি প্রধান মডিউল পুনরুদ্ধার করা এবং তারপরে এটি কার্যকর করা। লোডারের সঠিক আচরণ বিভিন্ন কারণের উপর ভিত্তি করে নির্ধারিত হয়। যদি শিকারের প্রশাসক বিশেষাধিকার থাকে, তাহলে Gelsenicine পরবর্তী পর্যায়ের ম্যালওয়্যারের দূষিত DLL C:\Windows\System32\spool\prtprocs\x64\winprint.dll-এর অধীনে ফেলে দেবে। প্রয়োজনীয় সুবিধাগুলি ছাড়া, লোডার পরিবর্তে CommonAppData/Google/Chrome/Application/Library/ অবস্থানে একটি chrome_elf.dll ফেলে দেবে৷

Gelsevirine হল জেলসেমিয়াম আক্রমণের প্রধান প্লাগইন। এটি কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে যোগাযোগে একটি জটিল সেটআপ ব্যবহার করে। যোগাযোগ স্থাপনের ক্ষেত্রে একটি নির্দিষ্ট এমবেডেড ডিএলএল মধ্যম-মানুষ হিসেবে কাজ করে। এছাড়াও, একটি কনফিগারেশনকে বিভিন্ন প্রোটোকল - tcp, udp, http, এবং https পরিচালনা করার দায়িত্ব দেওয়া হয়। Infosec গবেষকরা দেখেছেন যে Gelsevirine C&C যোগাযোগের জন্য একটি কম্প্রেশন-ডিকম্প্রেশন মডিউল সহ বিভিন্ন প্লাগ-ইন পুনরুদ্ধার করে, ফাইল সিস্টেম ম্যানিপুলেট করার জন্য একটি প্লাগ এবং যেটি DLL-কে নির্বাচিত প্রক্রিয়ায় ইনজেকশনের সুবিধা দেয়।

অতিরিক্ত জেলসেমিয়াম সংযোগ

গবেষকরা জেলসেমিয়াম এপিটি গ্রুপ এবং বিগনক্সের বিরুদ্ধে সাপ্লাই-চেইন আক্রমণের মধ্যে কিছু লিঙ্ক উন্মোচন করতে সক্ষম হয়েছেন। হ্যাকাররা পিসি এবং ম্যাকের জন্য একটি অ্যান্ড্রয়েড এমুলেটর নক্সপ্লেয়ারের আপডেট প্রক্রিয়ার সাথে আপস করেছে।

OwlProxy হল একটি দূষিত মডিউল যা নির্দিষ্ট আচরণ প্রদর্শন করে যা জেলসেমিয়াম ম্যালওয়্যার সরঞ্জামগুলিতেও পরিলক্ষিত হয়েছে। আরও নির্দিষ্টভাবে, হুমকিগুলি আপস করা সিস্টেমে উইন্ডোজ সংস্করণ পরীক্ষা করার জন্য অনুরূপ পদ্ধতি ব্যবহার করে। Chrommme নামের আরেকটি ম্যালওয়্যার ব্যাকডোরে একই সুস্পষ্ট সংযোগ নেই তবে কিছু নির্দিষ্ট সূচক জেলসেমিয়ামের সাথে একটি লিঙ্কের দিকে নির্দেশ করে। সব শেষে Chrommme এবং Gelseverine উভয়ই হুমকি দ্বারা নিযুক্ত সার্ভারগুলির মধ্যে একটি হিসাবে একই C&C সার্ভার ব্যবহার করে৷ উপরন্তু, Chrommme-এর একটি নমুনা একটি সিস্টেমে আবিষ্কৃত হয়েছিল যা জেলসেমিয়াম দ্বারা লক্ষ্যবস্তু ছিল।