আলোকিত মথ এপিটি

গবেষকরা একটি বৃহৎ আকারের আক্রমণ অভিযানের সন্ধান করেছেন যা তারা লুমিনাসমথ নামে একটি নতুন APT (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপকে দায়ী করে। এপিটি-সম্পর্কিত প্রচারাভিযানগুলি সাধারণত সাইবার অপরাধীদের সংক্রমণ চেইন তৈরি করে এবং তারা যে নির্দিষ্ট সত্তা লঙ্ঘন করার লক্ষ্যে নিয়োজিত ম্যালওয়্যার হুমকির সাথে লক্ষ্যবস্তু করে। যাইহোক, LuminousMoth আক্রমণে অস্বাভাবিকভাবে বেশি সংখ্যক ক্ষতিগ্রস্ত হয়েছে - মায়ানমারে প্রায় 100 এবং ফিলিপাইনে 1400 এর কাছাকাছি। এটি সম্ভবত প্রচারণার প্রকৃত লক্ষ্যগুলি সনাক্ত করা শিকারদের একটি ছোট উপসেট প্রতিনিধিত্ব করে। হ্যাকাররা উভয় দেশের পাশাপাশি বিদেশের সরকারী সংস্থাগুলির পরে বলে মনে হচ্ছে।

ইনফেকশন চেইন

প্রাথমিক সংক্রমণ ভেক্টরটি একটি বর্শা-ফিশিং ইমেল বলে মনে হচ্ছে যেখানে একটি ড্রপবক্স ডাউনলোড লিঙ্ক রয়েছে যা একটি দূষিত ফাইলের দিকে নিয়ে যায়। ফাইলটি একটি ওয়ার্ড ডকুমেন্ট হওয়ার ভান করে কিন্তু এটি একটি RAR আর্কাইভ যাতে দুটি আপস করা DLL লাইব্রেরি এবং দুটি বৈধ এক্সিকিউটেবল ডিএলএল সাইড-লোড করার দায়িত্ব দেওয়া হয়। সংরক্ষণাগারে টোপ নাম ব্যবহার করা হয়েছে যেমন 'COVID-19 Case 12-11-2020(MOTC).rar' এবং 'DACU Projects.r01।' মায়ানমারে, MOTC এর অর্থ পরিবহন ও যোগাযোগ মন্ত্রণালয়, যখন DACU হল উন্নয়ন সহায়তা সমন্বয় ইউনিট।

সিস্টেমের প্রাথমিক লঙ্ঘনের পরে, LuminousMoth পাশে সরানোর জন্য একটি ভিন্ন পদ্ধতি নিয়োগ করে। হুমকিটি ইউএসবি ড্রাইভের মতো অপসারণযোগ্য মিডিয়ার জন্য আপস করা ডিভাইসটিকে স্ক্যান করে। এটি তারপর নির্বাচিত ফাইল সংরক্ষণ করার জন্য লুকানো ডিরেক্টরি তৈরি করে।

শোষণ-পরবর্তী সরঞ্জাম

কিছু নির্দিষ্ট লক্ষ্যবস্তুতে, লুমিনাসমথ অতিরিক্ত হুমকির সরঞ্জাম মোতায়েন করে আক্রমণকে বাড়িয়ে তোলে। ইনফোসেক গবেষকরা একটি চুরির হুমকি লক্ষ্য করেছেন যা জনপ্রিয় ভিডিও কনফারেন্স অ্যাপ্লিকেশন জুমের ছদ্মবেশ ধারণ করে। বৈধতা যোগ করতে, ছদ্মবেশে একটি বৈধ ডিজিটাল স্বাক্ষর এবং শংসাপত্র রয়েছে। একবার সূচনা করার পরে, চুরিকারী নির্দিষ্ট ফাইল এক্সটেনশনের জন্য শিকারের সিস্টেম স্ক্যান করে এবং সেগুলিকে একটি কমান্ড-এন্ড-কন্ট্রোল সার্ভারে (C2, C&C) এক্সফিল্ট করে।

হুমকি অভিনেতা নির্দিষ্ট সিস্টেমে একটি ক্রোম কুকি চুরিকারীও সরবরাহ করেছিলেন। এর পরে থাকা ডেটা ধারণকারী দুটি ফাইল অ্যাক্সেস করার জন্য টুলটির স্থানীয় ব্যবহারকারীর নাম প্রয়োজন। কিছু পরীক্ষা চালানোর পর, সাইবারসিকিউরিটি গবেষকরা নির্ধারণ করেছেন যে এই টুলের লক্ষ্য হল হাইজ্যাক করা এবং তারপর লক্ষ্যগুলির Gmail সেশনের ছদ্মবেশী করা।

এটি লক্ষ করা উচিত যে LuminousMoth APT ব্যাপকভাবে একটি শেষ পর্যায়ের পেলোড হিসাবে একটি কোবাল্ট স্ট্রাইক বীকন ব্যবহার করে।

LuminousMoth একটি নতুন হুমকি অভিনেতা?

মনে হচ্ছে LuminousMoth আক্রমণ অভিযানটি HoneyMyte (Mustang Panda) নামে একটি ইতিমধ্যে প্রতিষ্ঠিত চীনা-সম্পর্কিত APT দ্বারা পরিচালিত অপারেশনগুলির সাথে কিছু আকর্ষণীয় মিল বহন করে। উভয় গ্রুপই একই রকম টার্গেট মানদণ্ড এবং টিটিপি (কৌশল, কৌশল এবং পদ্ধতি) প্রদর্শন করে যার মধ্যে রয়েছে সাইড-লোডিং এবং কোবাল্ট স্ট্রাইক লোডার স্থাপন। উপরন্তু, LuminousMoth আক্রমণে দেখা Chome কুকি স্টিলার অতীতের HoneyMyte কার্যকলাপের একটি দূষিত উপাদানের অনুরূপ। অবকাঠামোর ওভারল্যাপগুলি গ্রুপগুলির মধ্যে অতিরিক্ত লিঙ্ক সরবরাহ করে। এই মুহুর্তে এটি চূড়ান্তভাবে নির্ধারণ করা যায় না যে LuminousMoth প্রকৃতপক্ষে একটি নতুন হ্যাকার গ্রুপ নাকি এটি HoneyMyte-এর একটি নতুন সংস্করণ যা ম্যালওয়্যার সরঞ্জামগুলির একটি নতুন অস্ত্রাগার দিয়ে সজ্জিত।