MirrorFace APT

জাপানের ন্যাশনাল পুলিশ এজেন্সি (এনপিএ) এবং ন্যাশনাল সেন্টার অফ ইনসিডেন্ট রেডিনেস অ্যান্ড স্ট্র্যাটেজি ফর সাইবারসিকিউরিটি (এনসিএসসি) মিররফেস নামে পরিচিত একজন চীন-সংযুক্ত হুমকি অভিনেতাকে দীর্ঘদিন ধরে চলা সাইবার আক্রমণের প্রচারণা চালানোর জন্য অভিযুক্ত করেছে। 2019 সাল থেকে, গোষ্ঠীটি জাতীয় নিরাপত্তা এবং উন্নত প্রযুক্তি সম্পর্কিত তথ্য চুরি করার লক্ষ্যে জাপান জুড়ে সংস্থা, ব্যবসা এবং ব্যক্তিদের লক্ষ্যবস্তু করেছে।

APT10 এর সাথে মিররফেসের লিঙ্ক

মিররফেসকে আর্থ কাশাও বলা হয়, এটি সুপরিচিত APT10 হুমকি অভিনেতার মধ্যে একটি উপগোষ্ঠী বলে মনে করা হয়। গোষ্ঠীটি জাপানি সত্ত্বাগুলিকে পরিকল্পিতভাবে আক্রমণ করেছে, তার উদ্দেশ্যগুলি অর্জনের জন্য ANEL, LODEINFO এবং NOOPDOOR (এছাড়াও হিডেনফেস নামে পরিচিত) এর মতো অত্যাধুনিক সরঞ্জাম ব্যবহার করেছে।

বর্শা-ফিশিং এবং লক্ষ্য সম্প্রসারণ

গবেষকরা একটি বর্শা-ফিশিং প্রচারাভিযানের বিশদ উন্মোচন করেছেন যাতে মিররফেস জাপানে ANEL এবং NOOPDOOR স্থাপনের জন্য ব্যক্তি এবং সংস্থাকে লক্ষ্য করে। বছরের পর বছর ধরে, তাইওয়ান এবং ভারতে সত্ত্বাকে লক্ষ্য করে অনুরূপ অভিযান পরিলক্ষিত হয়েছে, যা গ্রুপের বৃহত্তর কৌশলগত স্বার্থ প্রদর্শন করে।

তিনটি প্রধান আক্রমণ অভিযান চিহ্নিত করা হয়েছে

এনপিএ এবং এনসিএসসি অনুসারে, মিররফেসের কার্যক্রম তিনটি প্রধান প্রচারাভিযানে শ্রেণীবদ্ধ করা হয়েছে:

• প্রচারাভিযান A (ডিসেম্বর 2019 - জুলাই 2023 ): এই পর্বটি থিঙ্ক ট্যাঙ্ক, সরকারী সংস্থা, রাজনীতিবিদ এবং মিডিয়া সংস্থাগুলির উপর দৃষ্টি নিবদ্ধ করে। আক্রমণকারীরা LODEINFO , NOOPDOOR এবং LilimRAT নামে পরিচিত Lilith RAT- এর একটি কাস্টমাইজড সংস্করণ সরবরাহ করতে স্পিয়ার-ফিশিং ইমেলগুলি ব্যবহার করেছিল৷
• ক্যাম্পেইন বি (ফেব্রুয়ারি - অক্টোবর 2023) : এই সময়ের মধ্যে, মিররফেস তার ফোকাস সেমিকন্ডাক্টর, উত্পাদন, যোগাযোগ, একাডেমিক এবং মহাকাশ খাতে স্থানান্তরিত করেছে। গ্রুপটি অ্যারে নেটওয়ার্ক, সিট্রিক্স এবং ফোর্টিনেট থেকে ইন্টারনেট-মুখী ডিভাইসগুলিতে পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে নেটওয়ার্কে অনুপ্রবেশ করতে এবং কোবাল্ট স্ট্রাইক বীকন, লোডেইনফো এবং নুপডোর স্থাপন করে৷
• প্রচারাভিযান C (জুন 2024 থেকে): সাম্প্রতিক আক্রমণগুলি প্রাথমিকভাবে একাডেমিয়া, থিঙ্ক ট্যাঙ্ক, রাজনীতিবিদ এবং মিডিয়া সংস্থাগুলিকে লক্ষ্য করে। আক্রমণকারীরা বর্শা-ফিশিং ইমেলগুলি ব্যবহার করতে থাকে, এবার ANEL (যা UPPERCUT নামেও পরিচিত) সরবরাহ করতে।

ফাঁকি কৌশল এবং গোপন যোগাযোগ

মিররফেস অধ্যবসায় বজায় রাখতে এবং সনাক্তকরণ এড়াতে উন্নত কৌশল নিযুক্ত করেছে। একটি উল্লেখযোগ্য কৌশলের মধ্যে রয়েছে গোপন সংযোগ স্থাপনের জন্য ভিজ্যুয়াল স্টুডিও কোড রিমোট টানেল ব্যবহার করে, হুমকি অভিনেতাদের নেটওয়ার্ক প্রতিরক্ষা বাইপাস করতে এবং আপস করা সিস্টেমের উপর রিমোট কন্ট্রোল বজায় রাখতে সক্ষম করে।

স্টিলথ এক্সিকিউশনের জন্য উইন্ডোজ স্যান্ডবক্স

তদন্তকারীরা আরও আবিষ্কার করেছেন যে আক্রমণকারীরা উইন্ডোজ স্যান্ডবক্স পরিবেশের মধ্যে হুমকিমূলক পেলোডগুলি সম্পাদন করছে। এই পদ্ধতিটি অ্যান্টিভাইরাস সফ্টওয়্যার বা এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) সিস্টেম দ্বারা শনাক্ত না করেই ম্যালওয়্যারকে কাজ করার অনুমতি দেয়। অধিকন্তু, একবার হোস্ট কম্পিউটারটি বন্ধ বা পুনরায় চালু হলে, ম্যালওয়্যারের সমস্ত চিহ্ন মুছে ফেলা হয়, পিছনে কোনও ফরেনসিক প্রমাণ থাকে না।

জাতীয় নিরাপত্তার জন্য চলমান হুমকি

মিররফেস দ্বারা ব্যবহৃত ক্রমাগত এবং বিকশিত কৌশলগুলি জাপানের মুখোমুখি চলমান সাইবার হুমকিগুলিকে তুলে ধরে। সমালোচনামূলক খাতকে লক্ষ্য করে এবং পরিশীলিত ফাঁকি কৌশল প্রয়োগ করে, গ্রুপটি জাতীয় নিরাপত্তা এবং প্রযুক্তিগত অগ্রগতির জন্য একটি গুরুতর চ্যালেঞ্জ তৈরি করে চলেছে। কর্তৃপক্ষ সংস্থাগুলিকে বর্শা-ফিশিং প্রচেষ্টার বিরুদ্ধে সজাগ থাকতে এবং ক্রমবর্ধমান হুমকির বিরুদ্ধে তাদের সাইবার নিরাপত্তা প্রতিরক্ষা জোরদার করার আহ্বান জানায়।