LOTUSLITE ব্যাকডোর

নিরাপত্তা গবেষকরা মার্কিন সরকার এবং নীতিনির্ধারণী প্রতিষ্ঠানগুলিকে লক্ষ্য করে একটি অত্যাধুনিক ম্যালওয়্যার প্রচারণা আবিষ্কার করেছেন, যা সময়োপযোগী রাজনৈতিক থিম ব্যবহার করে ভুক্তভোগীদের প্রলুব্ধ করে। হুমকিদাতারা 'US now decking what's next for Venezuela.zip' শিরোনামের একটি জিপ আর্কাইভ স্পিয়ার-ফিশিং বার্তাগুলিতে এম্বেড করেছে যা সাম্প্রতিক US-Venezuela উন্নয়নের সাথে সংশ্লিষ্ট প্রাপকদের কাছে আবেদন করার জন্য ডিজাইন করা হয়েছে। যদি খোলা হয়, তাহলে এই আর্কাইভটি DLL সাইড-লোডিংয়ের মাধ্যমে LOTUSLITE নামে পরিচিত একটি ব্যাকডোর সরবরাহ করে, একটি পদ্ধতি যা দূষিত পেলোড গোপন করতে এবং সনাক্তকরণ এড়াতে বৈধ অ্যাপ্লিকেশনগুলিকে কাজে লাগায়। এটি এখনও স্পষ্ট নয় যে অভিযুক্তদের মধ্যে কেউ সফলভাবে আপস করা হয়েছে কিনা।

এই প্রচারণার জন্য রাষ্ট্র-সংযুক্ত চীনা সাইবার গুপ্তচরবৃত্তি গোষ্ঠী মুস্তাং পান্ডার প্রতি মাঝারি আত্মবিশ্বাসের সাথে দায়ী করা হয়েছে। এই গোষ্ঠীর সাথে পূর্বে সংযুক্ত কৌশলগত পদ্ধতি এবং অবকাঠামোগত পদচিহ্নগুলিকে ওভারল্যাপ করার উপর ভিত্তি করে এই গোষ্ঠী রাজনৈতিকভাবে পরিচালিত লক্ষ্যবস্তু এবং শোষণ-ভিত্তিক প্রাথমিক অ্যাক্সেসের চেয়ে সাইড-লোডিংকে সমর্থন করার জন্য সুপরিচিত।

বিতরণ এবং কার্যকরকরণ প্রক্রিয়া

ক্ষতিকারক জিপটিতে একটি ডিকয় এক্সিকিউটেবল এবং একটি ডায়নামিক-লিঙ্ক লাইব্রেরি রয়েছে যা DLL সাইড-লোডিংয়ের মাধ্যমে চালু করা হয়, এটি একটি নির্ভরযোগ্য এক্সিকিউশন ফ্লো যেখানে একটি সৌম্য প্রক্রিয়া অসাবধানতাবশত একটি ক্ষতিকারক লাইব্রেরি লোড করে। মুস্তাং পান্ডা পূর্ববর্তী অপারেশনগুলিতে ধারাবাহিকভাবে এই কৌশলটি ব্যবহার করেছে, যার মধ্যে টোনেশেলের মতো পিছনের দরজা ঠেলে দেওয়াও অন্তর্ভুক্ত।

একবার কার্যকর করা হলে, ইমপ্লান্ট করা DLL (kugou.dll নামকরণ করা হয়েছে) গুপ্তচরবৃত্তির কাজের জন্য তৈরি একটি কাস্টম C++ ব্যাকডোর হিসেবে কাজ করে। LOTUSLITE Windows WinHTTP API ব্যবহার করে তার হার্ড-কোডেড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ স্থাপন করে, যা দূরবর্তী কমান্ড এবং ডেটা নিষ্কাশন সক্ষম করে।

পিছনের দরজার ক্ষমতা

LOTUSLITE রিমোট কন্ট্রোল এবং রিকনেসান্সিং সুবিধা প্রদানকারী কিছু মূল অপারেশন সমর্থন করে। এর মধ্যে রয়েছে:

• একটি সিএমডি শেল তৈরি এবং নিয়ন্ত্রণের মাধ্যমে দূরবর্তী কমান্ড কার্যকরকরণ
• ফাইল সিস্টেমের মিথস্ক্রিয়া, যেমন ডিরেক্টরি গণনা, ফাইল তৈরি এবং ডেটা সংযোজন
• বীকন স্ট্যাটাস ম্যানেজমেন্ট, যা C2 এর সাথে যোগাযোগ নিয়ন্ত্রণ করে

LOTUSLITE দ্বারা সমর্থিত সম্পূর্ণ কমান্ড সেটটি এখানে রয়েছে:

• 0x0A: রিমোট সিএমডি শেল শুরু করুন
• 0x0B: রিমোট শেল বন্ধ করুন
• 0x01: শেলের মাধ্যমে কমান্ড পাঠান
• 0x06: বীকনের অবস্থা রিসেট করুন
• 0x03: ফাইলগুলি গণনা করুন

• 0x0D: খালি ফাইল তৈরি করুন

• 0x0E: ফাইলে ডেটা যোগ করুন

• 0x0F: বীকনের অবস্থা পুনরুদ্ধার করুন

LOTUSLITE উইন্ডোজ রেজিস্ট্রি সেটিংস পরিবর্তন করে স্থায়িত্ব নিশ্চিত করে যাতে এটি প্রতিটি ব্যবহারকারী লগইন করার সময় স্বয়ংক্রিয়ভাবে কার্যকর হয়।

আচরণগত বৈশিষ্ট্য এবং কর্মক্ষমতার উপর জোর দেওয়া

নিরাপত্তা বিশ্লেষকরা লক্ষ্য করেছেন যে LOTUSLITE, Mustang Panda দ্বারা মোতায়েন করা পূর্ববর্তী সরঞ্জামগুলির সাথে আচরণগত মিল প্রদর্শন করে, যেমন Claimloader, বিশেষ করে সামাজিক প্রকৌশল প্রচেষ্টাকে সমর্থন করে এমন উস্কানিমূলক বার্তা স্ট্রিং এম্বেড করে। Claimloader নিজেই একটি DLL লোডার যা পূর্ববর্তী প্রচারাভিযানে PUBLOAD এর মতো অন্যান্য Mustang Panda পেলোড স্থাপন করতে ব্যবহৃত হয়।

এই অভিযান লক্ষ্যবস্তুতে বর্শা-ফিশিংয়ের একটি বৃহত্তর প্রবণতাকে তুলে ধরে: জটিল শূন্য-দিনের শোষণের উপর নির্ভর করার পরিবর্তে, উন্নত স্থায়ী হুমকি গোষ্ঠীগুলি প্রায়শই সামাজিকভাবে প্রাসঙ্গিক লোভের মাধ্যমে অ্যাক্সেস অর্জন করে এবং DLL সাইড-লোডিংয়ের মতো সু-পরীক্ষিত কার্যকরকরণ পদ্ধতি ব্যবহার করে। যদিও LOTUSLITE-তে অত্যন্ত উন্নত ফাঁকি দেওয়ার বৈশিষ্ট্য নেই, এর সরল কমান্ড-এন্ড-কন্ট্রোল ক্ষমতা এবং নির্ভরযোগ্য কার্যকরকরণ প্রবাহ এটিকে দীর্ঘমেয়াদী গুপ্তচরবৃত্তির জন্য একটি ব্যবহারিক হাতিয়ার করে তোলে।

এই প্রচারণাটি দেখায় যে, এমনকি সহজ, পরিচিত কৌশলগুলিও কার্যকর থাকতে পারে যখন বুদ্ধিমান লক্ষ্যবস্তু এবং প্রাসঙ্গিকভাবে প্রাসঙ্গিক প্রলোভনের সাথে মিলিত হয়, বিশেষ করে উচ্চ-মূল্যবান প্রাতিষ্ঠানিক নেটওয়ার্কগুলির বিরুদ্ধে।