LitterDrifter কৃমি

রাশিয়ার ফেডারেল সিকিউরিটি সার্ভিস (এফএসবি) এর সাথে যুক্ত সাইবার গুপ্তচরবৃত্তি কর্মীরা ইউক্রেনীয় সত্ত্বাগুলিতে পরিচালিত হামলায় লিটারড্রিফটার নামে একটি ইউএসবি-প্রচারকারী কীট নিয়োগ করছে বলে সনাক্ত করা হয়েছে।

এই আক্রমণ পরিচালনাকারী সত্তাকে Gamaredon হিসাবে চিহ্নিত করা হয়, যা অ্যাকোয়া ব্লিজার্ড, আয়রন টিল্ডেন, প্রিমটিভ বিয়ার, শাকওয়ার্ম এবং উইন্টারফ্লাউন্ডারের মতো উপনাম দ্বারাও পরিচিত। এই হ্যাকারদের দ্বারা নিযুক্ত সাম্প্রতিক কৌশলগুলি গ্রুপটিকে বিস্তৃত প্রচারাভিযান পরিচালনা হিসাবে চিহ্নিত করে, তারপরে নির্দিষ্ট লক্ষ্যগুলিকে লক্ষ্য করে সূক্ষ্ম তথ্য সংগ্রহের প্রচেষ্টা। এই লক্ষ্যগুলির নির্বাচন গুপ্তচরবৃত্তির উদ্দেশ্য দ্বারা চালিত বলে অনুমান করা হয়।

LitterDrifter তার প্রাথমিক লক্ষ্যের বাইরে ছড়িয়ে পড়েছে

লিটারড্রাইফটার ওয়ার্ম দুটি প্রাথমিক কার্যকারিতা নিয়ে গর্ব করে: এটি স্বয়ংক্রিয়ভাবে সংযুক্ত ইউএসবি ড্রাইভের মাধ্যমে ম্যালওয়্যারকে ছড়িয়ে দেয় এবং হুমকি অভিনেতার কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে যোগাযোগ স্থাপন করে। সন্দেহ রয়েছে যে এটি পূর্বে প্রকাশিত পাওয়ারশেল-ভিত্তিক ইউএসবি ওয়ার্ম থেকে একটি অগ্রগতি উপস্থাপন করে, যা গবেষকরা জুন 2023 সালে উন্মোচন করেছিলেন।

ভিবিএস-এ তৈরি, স্প্রেডার মডিউলটি একটি ইউএসবি ড্রাইভের মধ্যে কৃমিকে বিচক্ষণতার সাথে বিতরণ করার দায়িত্ব নেয়, এর সাথে এলোমেলোভাবে নির্ধারিত নামগুলির সাথে একটি ডিকয় এলএনকে থাকে৷ "LitterDrifter" নামকরণটি 'trash.dll' নামে প্রাথমিক অর্কেস্ট্রেশন উপাদান থেকে উদ্ভূত হয়েছে।

Gamaredon C2 সার্ভার হিসাবে নিযুক্ত প্রকৃত আইপি ঠিকানাগুলির জন্য স্থানধারক হিসাবে ডোমেনগুলিকে ব্যবহার করে C&C-তে একটি স্বতন্ত্র পদ্ধতি গ্রহণ করে।

অধিকন্তু, LitterDrifter একটি টেলিগ্রাম চ্যানেল থেকে বের করা একটি C&C সার্ভারের সাথে সংযোগ করার ক্ষমতা প্রদর্শন করে, একটি কৌশল যা 2023 সালের প্রথম দিক থেকে হুমকি অভিনেতার দ্বারা ধারাবাহিকভাবে নিযুক্ত করা হয়েছিল৷ সাইবার নিরাপত্তা বিশেষজ্ঞরা ইউক্রেনের বাইরে সংক্রমণের সম্ভাব্য লক্ষণগুলি সনাক্ত করেছেন, যা মার্কিন যুক্তরাষ্ট্র, ভিয়েতনামে কার্যকলাপ নির্দেশ করে , চিলি, পোল্যান্ড, জার্মানি এবং হংকং।

Gamaredon তার আক্রমণ কৌশল বিকশিত হয়

চলতি বছর জুড়ে, Gamaredon একটি সক্রিয় উপস্থিতি বজায় রেখেছে, ধারাবাহিকভাবে তার আক্রমণের কৌশলগুলিকে অভিযোজিত করেছে। 2023 সালের জুলাই মাসে, প্রতিপক্ষের দ্রুত ডেটা অপসারণ করার ক্ষমতা স্পষ্ট হয়ে ওঠে, কারণ হুমকি অভিনেতা প্রাথমিক সমঝোতার মাত্র এক ঘন্টার মধ্যে সংবেদনশীল তথ্য প্রেরণ করতে সক্ষম হয়েছিল।

এটা স্পষ্ট যে LitterDrifter বিশেষভাবে একটি বিস্তৃত সংগ্রহ অপারেশন সহজতর করার জন্য তৈরি করা হয়েছিল। সহজবোধ্য অথচ দক্ষ কৌশল নিযুক্ত করে, ম্যালওয়্যার নিশ্চিত করে যে এটি এই অঞ্চলে লক্ষ্যের বিস্তৃত বর্ণালীতে পৌঁছাতে পারে।

রাশিয়া-ইউক্রেন যুদ্ধ শুরু হওয়ার পর থেকে হুমকি অভিনেতারা বৃদ্ধির কার্যকলাপ দেখান

উদ্ঘাটিত ঘটনাগুলি ইউক্রেনের ন্যাশনাল সাইবারসিকিউরিটি কোঅর্ডিনেশন সেন্টার (এনসিএসসিসি) এর সাথে মিলে যায় যা রাষ্ট্র-স্পন্সরকৃত রাশিয়ান হ্যাকারদের ইতালি, গ্রীস, রোমানিয়া এবং আজারবাইজান সহ ইউরোপ জুড়ে দূতাবাসগুলিতে হামলা চালানোর ঘটনা প্রকাশ করে৷

APT29 (ক্লোকড উর্সা, কোজি বিয়ার, আয়রন হেমলক, মিডনাইট ব্লিজার্ড এবং আরও অনেক কিছু নামেও পরিচিত) এর জন্য দায়ী, এই অনুপ্রবেশগুলি সম্প্রতি প্রকাশিত WinRAR দুর্বলতা (CVE-2023-38831) কে প্রতারণামূলক প্রলোভনের মাধ্যমে কাজে লাগায়, যেমন বিক্রয়ের জন্য BMW এর দাবি, একটি থিম পূর্বে হুমকি অভিনেতা দ্বারা নিযুক্ত.

আক্রমণের ক্রমটি একটি বিশেষভাবে তৈরি করা জিপ ফাইলের লিঙ্ক সহ ক্ষতিগ্রস্তদের ফিশিং ইমেল বিতরণের সাথে শুরু হয়। চালু করার পরে, Ngrok-এ হোস্ট করা রিমোট সার্ভার থেকে পাওয়ারশেল স্ক্রিপ্ট আনার জন্য ত্রুটিটি কাজে লাগানো হয়। রাশিয়ান গোয়েন্দা পরিষেবা হ্যাকিং গোষ্ঠীগুলির দ্বারা CVE-2023-38831 দুর্বলতার পুনরাবৃত্তির শোষণ এর ক্রমবর্ধমান জনপ্রিয়তা এবং পরিশীলিততার উপর জোর দেয়।

অধিকন্তু, CERT-UA (ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম) অনিরাপদ RAR সংরক্ষণাগারগুলি ছড়িয়ে দেওয়ার জন্য একটি ফিশিং প্রচারাভিযানের তথ্য প্রকাশ করেছে৷ এই আর্কাইভগুলি ইউক্রেনের সিকিউরিটি সার্ভিস (এসবিইউ) থেকে একটি পিডিএফ নথি ধারণ করে। যাইহোক, বাস্তবে, তারা একটি এক্সিকিউটেবল রাখে যা রেমকোস র‌্যাট স্থাপনের দিকে পরিচালিত করে।