লুনারওয়েব ব্যাকডোর
একটি ইউরোপীয় পররাষ্ট্র মন্ত্রণালয় (MFA) এবং মধ্যপ্রাচ্যে এর তিনটি কূটনৈতিক মিশন সম্প্রতি লুনারওয়েব নামে একটি নতুন ব্যাকডোর দ্বারা আঘাত করেছে, যা আগে নথিভুক্ত করা হয়নি। উপরন্তু, আক্রমণকারীরা লুনারমেল নামে আরেকটি দূষিত টুল ব্যবহার করেছিল। গবেষকরা মাঝারি আত্মবিশ্বাসের সাথে বিশ্বাস করেন যে এই সাইবার অ্যাটাকটি রাশিয়া-সংযুক্ত সাইবারস্পাইনেজ গ্রুপ তুর্লার কাজ, যা আয়রন হান্টার, পেনসিভ উরসা, সিক্রেট ব্লিজার্ড, স্নেক, উরোবুরোস এবং ভেনোমাস বিয়ার সহ বিভিন্ন উপনামে পরিচিত। অ্যাট্রিবিউশন এই হুমকি অভিনেতার সাথে যুক্ত পূর্ববর্তী প্রচারাভিযানগুলিতে পর্যবেক্ষণ করা কৌশলগুলির মিলের উপর ভিত্তি করে।
LunarWeb এর কমান্ড-এন্ড-কন্ট্রোল (C&C) যোগাযোগের জন্য HTTP(S) ব্যবহার করে সার্ভারে কাজ করে, এর কার্যকলাপকে বৈধ অনুরোধ হিসাবে ছদ্মবেশ ধারণ করে। অন্যদিকে, LunarMail, ওয়ার্কস্টেশনে নিয়োজিত, একটি Outlook অ্যাড-ইন হিসাবে অবিচল থাকে এবং এর C&C যোগাযোগের জন্য ইমেল বার্তা ব্যবহার করে। চন্দ্র নিদর্শনগুলির একটি পরীক্ষা পরামর্শ দেয় যে তারা 2020 সালের প্রথম দিকে বা সম্ভবত আরও আগে লক্ষ্যবস্তু আক্রমণে নিযুক্ত হতে পারে।
সুচিপত্র
তুর্লা এপিটি সাইবার ক্রাইম দৃশ্যের একজন প্রধান হুমকি অভিনেতা
তুর্লা, রাশিয়ার ফেডারেল সিকিউরিটি সার্ভিস (এফএসবি) এর সাথে অনুমোদিত বলে মূল্যায়ন করা হয়েছে, এটি একটি উন্নত ক্রমাগত হুমকি (এপিটি) যা কমপক্ষে 1996 সাল থেকে সক্রিয় বলে পরিচিত। এটি সরকার, দূতাবাস, সামরিক বাহিনীতে বিস্তৃত বিভিন্ন শিল্পকে লক্ষ্যবস্তু করার ট্র্যাক রেকর্ড রয়েছে , শিক্ষা, গবেষণা, এবং ফার্মাসিউটিক্যাল সেক্টর।
এর আগে 2024 সালে, সাইবার গুপ্তচর গোষ্ঠীটি TinyTurla-NG (TTNG) নামে একটি ব্যাকডোর বিতরণ করার জন্য পোলিশ সংস্থাগুলিকে আক্রমণ করার জন্য আবিষ্কৃত হয়েছিল। তুর্লা গোষ্ঠী একটি দীর্ঘস্থায়ী প্রতিপক্ষ যার কার্যক্রমের দীর্ঘ ইতিহাস রয়েছে। তাদের উৎপত্তি, কৌশল এবং লক্ষ্য সবই অত্যন্ত দক্ষ অপারেটিভদের সাথে একটি ভাল অর্থায়নে পরিচালিত অপারেশন নির্দেশ করে।
লুনারওয়েব ব্যাকডোর ডেলিভারির জন্য সংক্রমণ ভেক্টর
MFA লঙ্ঘন করার জন্য ব্যবহৃত সুনির্দিষ্ট পদ্ধতি বর্তমানে অজানা, তবে এটি স্পিয়ার-ফিশিং এবং ভুল কনফিগার করা Zabbix সফ্টওয়্যার শোষণের উপাদান জড়িত বলে সন্দেহ করা হচ্ছে। আক্রমণের প্রাথমিক পর্যায়টি একটি ASP.NET ওয়েব পৃষ্ঠার একটি সংকলিত সংস্করণ দিয়ে শুরু হবে বলে বিশ্বাস করা হয়, যা লুনারলোডার (একটি লোডার) এবং লুনারওয়েব ব্যাকডোর ধারণকারী দুটি এমবেডেড ব্লব ডিকোড করার জন্য একটি নালী হিসাবে কাজ করে।
এই প্রক্রিয়ায়, যখন পৃষ্ঠাটি অ্যাক্সেস করা হয়, তখন এটি SMSKey নামের একটি কুকির মধ্যে একটি পাসওয়ার্ড আশা করে। প্রদান করা হলে, এই পাসওয়ার্ডটি পরবর্তী পেলোডগুলি ডিক্রিপ্ট করার জন্য একটি ক্রিপ্টোগ্রাফিক কী পেতে ব্যবহার করা হয়। আক্রমণকারীর সম্ভবত পূর্ব-বিদ্যমান নেটওয়ার্ক অ্যাক্সেস ছিল, পার্শ্বীয় আন্দোলনের জন্য চুরি করা শংসাপত্রগুলি ব্যবহার করেছিল এবং সার্ভারের সাথে আপোস করার জন্য ইচ্ছাকৃত পদক্ষেপ নিয়েছিল।
অন্যদিকে, লুনারমেল স্পিয়ার-ফিশিং ইমেলের মাধ্যমে পাঠানো একটি দূষিত মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্টের মাধ্যমে ছড়িয়ে পড়ে, যার মধ্যে লুনারলোডারের পেলোড এবং সংশ্লিষ্ট ব্যাকডোর অন্তর্ভুক্ত রয়েছে।
কিভাবে LunarWeb এবং LunarMail ব্যাকডোর একবার কার্যকর করা হয়?
LunarWeb সিস্টেমের তথ্য সংগ্রহ করতে এবং C&C সার্ভার থেকে প্রাপ্ত JPG এবং GIF ইমেজ ফাইলের মধ্যে এমবেড করা কমান্ড কার্যকর করতে সক্ষম। তারপরে ফলাফলগুলি সংকুচিত এবং এনক্রিপ্ট করা হয় ফেরত পাঠানোর আগে। সনাক্তকরণ এড়াতে, লুনারওয়েব তার নেটওয়ার্ক ট্র্যাফিককে ছদ্মবেশ ধারণ করে বৈধ ক্রিয়াকলাপ যেমন উইন্ডোজ আপডেটের মতো।
C&C নির্দেশাবলী লুনারওয়েবকে শেল এবং পাওয়ারশেল কমান্ড চালানো, লুয়া কোড চালাতে, ফাইল ম্যানিপুলেট করতে এবং নির্দিষ্ট ডিরেক্টরি সংরক্ষণ করতে সক্ষম করে। আরেকটি ইমপ্লান্ট, LunarMail, অনুরূপ কার্যকারিতা ধারণ করে কিন্তু আউটলুকের সাথে একীভূত করে এবং ইমেলের মাধ্যমে C&C সার্ভারের সাথে যোগাযোগ করে, PNG সংযুক্তি সম্বলিত নির্দিষ্ট বার্তাগুলির জন্য স্ক্যান করে অনন্যভাবে কাজ করে।
LunarMail-এর কমান্ডের মধ্যে রয়েছে C&C-এর জন্য একটি Outlook প্রোফাইল কনফিগার করা, নির্বিচারে প্রক্রিয়া চালু করা এবং স্ক্রিনশট ক্যাপচার করা। আক্রমণকারী-নিয়ন্ত্রিত ইনবক্সে ইমেল সংযুক্তি হিসাবে পাঠানোর আগে এই ক্রিয়াগুলি থেকে আউটপুট PNG চিত্র বা PDF নথিতে লুকিয়ে রাখা হয়।
লুনারমেল সার্ভারের পরিবর্তে ব্যবহারকারীর ওয়ার্কস্টেশনে স্থাপনার জন্য ডিজাইন করা হয়েছে, একটি আউটলুক অ্যাড-ইন হিসাবে টিকে থাকে। এর অপারেশনাল পদ্ধতিগুলি LightNeuron- এর প্রতিফলন করে, আরেকটি তুর্লা ব্যাকডোর যা C&C যোগাযোগের জন্য ইমেল বার্তা নিয়োগ করে।
