ন্যাপলিস্টেনার
সম্প্রতি, REF2924 নামে পরিচিত হুমকি গোষ্ঠী একটি নতুন ধরনের ম্যালওয়্যার ব্যবহার করে দক্ষিণ ও দক্ষিণ-পূর্ব এশিয়ার বিভিন্ন সংস্থাকে লক্ষ্যবস্তু করছে। ম্যালওয়্যারটি NAPLISTENER হিসাবে ট্র্যাক করা হয় এবং এটি এক ধরনের HTTP শ্রোতা যা প্রোগ্রামিং ভাষা C# ব্যবহার করে তৈরি করা হয়েছিল। NAPLISTENER এর আগে দেখা যায়নি, এটি একটি পূর্বে অজানা ম্যালওয়্যার হুমকি তৈরি করেছে। ইনফোসেক গবেষকদের এক প্রতিবেদনে এ বিষয়ে বিস্তারিত জানানো হয়েছে।
NAPLISTENER বিশেষভাবে 'নেটওয়ার্ক-ভিত্তিক শনাক্তকরণের ধরন' এড়াতে ডিজাইন করা হয়েছে বলে মনে হয়। এর মানে হল যে ঐতিহ্যগত সনাক্তকরণ পদ্ধতি যা নেটওয়ার্ক ট্রাফিক বিশ্লেষণের উপর নির্ভর করে NAPLISTENER সনাক্তকরণে কার্যকর নাও হতে পারে। এটি লক্ষ্য করা গুরুত্বপূর্ণ যে REF2924 তাদের আক্রমণে উন্নত এবং পরিশীলিত কৌশল ব্যবহারের ইতিহাস রয়েছে। অতএব, এই নতুন উন্নয়নটি লক্ষ্যবস্তু অঞ্চলের সংস্থাগুলিকে সতর্ক থাকতে এবং REF2924-এর সম্ভাব্য আক্রমণ থেকে নিজেদের রক্ষা করার জন্য তাদের সাইবার নিরাপত্তা ব্যবস্থাকে অগ্রাধিকার দেওয়ার জন্য একটি সতর্কতা হিসাবে কাজ করা উচিত।
REF2924 হ্যাকার গ্রুপ তার হুমকি আর্সেনাল প্রসারিত
'REF2924' নামটি সাইবার আক্রমণকারীদের একটি গ্রুপকে বোঝায় যারা 2022 সালে আফগানিস্তানের একটি টার্গেট এবং সেইসাথে আসিয়ান সদস্যের পররাষ্ট্র বিষয়ক অফিসের বিরুদ্ধে আক্রমণ চালাতে জড়িত ছিল। এই আক্রমণকারীরা একই ধরনের কৌশল, কৌশল ভাগ করে নেয় বলে মনে করা হয়। , এবং 'চ্যামেলগ্যাং' নামে পরিচিত আরেকটি হ্যাকিং গ্রুপের সাথে পদ্ধতি, যা পজিটিভ টেকনোলজিস, রাশিয়ার সাইবার সিকিউরিটি কোম্পানি, ২০২১ সালের অক্টোবরে শনাক্ত করেছিল।
গ্রুপের আক্রমণের প্রাথমিক পদ্ধতির মধ্যে রয়েছে মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিকে শোষণ করা যা ইন্টারনেটের সংস্পর্শে আসে। তারা লক্ষ্যযুক্ত সিস্টেমে DOORME, SIESTAGRAPH এবং S হ্যাডোপ্যাডের মতো ব্যাকডোর ইনস্টল করতে এই দুর্বলতা ব্যবহার করে। শ্যাডোপ্যাডের ব্যবহার বিশেষভাবে উল্লেখযোগ্য, কারণ এটি চাইনিজ হ্যাকিং গোষ্ঠীগুলির সাথে একটি সম্ভাব্য সংযোগের পরামর্শ দেয় যারা আগে বিভিন্ন সাইবার প্রচারে এই ম্যালওয়্যারটি ব্যবহার করেছে।
NAPLISTENER একটি বৈধ পরিষেবা হিসাবে পোজ
REF2924 হ্যাকিং গ্রুপ তাদের ম্যালওয়্যারের ক্রমাগত প্রসারিত অস্ত্রাগারে একটি নতুন অস্ত্র যোগ করেছে। এই নতুন ম্যালওয়্যার, যা NAPLISTENER নামে পরিচিত এবং 'wmdtc.exe' নামে একটি ফাইল হিসাবে মোতায়েন করা হয়েছে, নিজেকে একটি বৈধ Microsoft ডিস্ট্রিবিউটেড লেনদেন সমন্বয়কারী পরিষেবা ('msdtc.exe') হিসাবে ছদ্মবেশ দেওয়ার জন্য ডিজাইন করা হয়েছে৷ এই ছদ্মবেশের লক্ষ্য হল সনাক্তকরণ এড়ানো এবং লক্ষ্যযুক্ত সিস্টেমে দীর্ঘমেয়াদী অ্যাক্সেস লাভ করা।
NAPLISTENER একটি HTTP অনুরোধ শ্রোতা তৈরি করে যা ইন্টারনেট থেকে আগত অনুরোধগুলি গ্রহণ করতে পারে। এটি তারপরে যেকোন জমা দেওয়া ডেটা পড়ে, এটিকে বেস 64 ফর্ম্যাট থেকে ডিকোড করে এবং এটি মেমরিতে কার্যকর করে। ম্যালওয়্যারের কোডের বিশ্লেষণ থেকে বোঝা যায় যে REF2924 GitHub-এ হোস্ট করা ওপেন-সোর্স প্রোজেক্ট থেকে কোড ধার করেছে বা পুনরায় ব্যবহার করেছে। এটি ইঙ্গিত দেয় যে গ্রুপটি সক্রিয়ভাবে তার সাইবার অস্ত্রগুলিকে পরিমার্জন এবং উন্নত করতে পারে, সম্ভাব্য নিরাপত্তা গবেষকদের পক্ষে তাদের আক্রমণ সনাক্ত করা এবং রক্ষা করা আরও কঠিন করে তুলছে।
