NSPX30 স্পাইওয়্যার

চীনের সাথে যুক্ত একজন অজ্ঞাত হুমকি অভিনেতা আবির্ভূত হয়েছে, বেশ কয়েকটি প্রতিপক্ষ-ইন-দ্য-মিডল (AitM) আক্রমণে জড়িত। এই আক্রমণগুলির মধ্যে NSPX30 নামে পরিচিত একটি অত্যাধুনিক ইমপ্লান্ট সরবরাহ করার উদ্দেশ্যে বৈধ সফ্টওয়্যার থেকে আপডেটের অনুরোধগুলি হাইজ্যাক করা জড়িত৷ গবেষকরা এই উন্নত ক্রমাগত হুমকি (এপিটি) গ্রুপটিকে 'ব্ল্যাকউড' হিসাবে চিহ্নিত করে পর্যবেক্ষণ করছেন। অনুসন্ধানে দেখা গেছে যে এই সাইবার ক্রাইম গ্রুপটি কমপক্ষে 2018 সাল থেকে কাজ করছে।

NSPX30 ইমপ্লান্ট সনাক্ত করা হয়েছে যেখানে এটি Tencent QQ, WPS অফিস এবং Sogou Pinyin সহ সুপরিচিত সফ্টওয়্যার আপডেট প্রক্রিয়ার মাধ্যমে স্থাপন করা হয়েছিল। এই হামলার লক্ষ্যবস্তু হচ্ছে চীন ও জাপানের উৎপাদন, বাণিজ্য এবং প্রকৌশলের সাথে জড়িত কোম্পানিগুলো। উপরন্তু, চীন, জাপান এবং যুক্তরাজ্যের ব্যক্তিরাও এই AitM আক্রমণ দ্বারা প্রভাবিত হয়েছে।

NSPX30 স্পাইওয়্যার একটি মাল্টি-কম্পোনেন্ট থ্রেট

NSPX30 একটি ড্রপার, ইনস্টলার, লোডার, অর্কেস্ট্রেটর এবং একটি ব্যাকডোর সহ বিভিন্ন উপাদান সমন্বিত একটি অত্যাধুনিক মাল্টিস্টেজ ইমপ্লান্ট উপস্থাপন করে। ব্যাকডোর এবং অর্কেস্ট্রেটর প্রত্যেকেরই আলাদা আলাদা সেট প্লাগইন থাকে। ইমপ্লান্টের আর্কিটেকচার কৌশলগতভাবে প্যাকেট ইন্টারসেপশন ক্ষমতার সুবিধার জন্য ডিজাইন করা হয়েছিল, যার ফলে NSPX30 অপারেটরদের তাদের অবকাঠামো কার্যকরভাবে লুকিয়ে রাখতে পারে।

ব্যাকডোরের উৎপত্তি, যা স্ব-অনুমোদিত তালিকার মাধ্যমে বেশ কয়েকটি চীনা অ্যান্টি-ম্যালওয়্যার সমাধানকে ঠেকানোর অতিরিক্ত ক্ষমতা রাখে, এটি প্রজেক্ট উড নামে পরিচিত একটি আগের ম্যালওয়্যার থেকে খুঁজে পাওয়া যেতে পারে, যা জানুয়ারী 2005 সালে প্রবর্তিত হয়েছিল। সিস্টেম সংগ্রহ করার জন্য প্রকল্প উড তৈরি করা হয়েছিল। এবং নেটওয়ার্ক তথ্য, কীস্ট্রোক ক্যাপচার করুন এবং ভিকটিম সিস্টেমের স্ক্রিনশট নিন।

প্রজেক্ট উডের কোডবেস বিভিন্ন ইমপ্লান্টের ভিত্তি হিসেবে কাজ করেছে, যা 2008 সালে ডিসিএম (ডার্ক স্পেকটার নামেও পরিচিত) এর মতো ডেরিভেটিভের জন্ম দিয়েছে। পরবর্তীকালে, এই ম্যালওয়্যারটি হংকং এবং বৃহত্তর অঞ্চলে আগ্রহী ব্যক্তিদের বিরুদ্ধে লক্ষ্যবস্তু আক্রমণে নিযুক্ত করা হয়েছিল। 2012 এবং 2014 উভয় ক্ষেত্রেই চীন এলাকা।

NSPX30 স্পাইওয়্যার স্থাপনের জন্য অ্যাটাক চেইন

NSPX30 প্রবর্তিত হয় সিস্টেমের সমঝোতার মাধ্যমে যা বৈধ সার্ভার থেকে (আনএনক্রিপ্ট করা) HTTP প্রোটোকলের মাধ্যমে সফ্টওয়্যার আপডেট ডাউনলোড করার চেষ্টা করে। এই আপস একটি ড্রপার DLL ফাইল স্থাপনের সুবিধা দেয়।

ক্ষতিকারক ড্রপার, আপস করা আপডেট প্রক্রিয়া চলাকালীন শুরু করা, ডিস্কে একাধিক ফাইল তৈরি করে এবং অ্যান্টিভাইরাস সফ্টওয়্যারের সাথে যুক্ত একটি বাইনারি 'RsStub.exe' কার্যকর করা শুরু করে। এই পদক্ষেপটি ডিএলএল সাইড-লোডিং-এর পূর্বের দুর্বলতাকে কাজে লাগিয়ে 'comx3.dll' চালু করতে সক্ষম করে।

পরবর্তীকালে, 'comx3.dll' একটি লোডার হিসাবে কাজ করে, 'comx3.dll.txt' নামে একটি তৃতীয় ফাইল নির্বাহ করে। এই ফাইলটি একটি ইনস্টলার লাইব্রেরি হিসাবে কাজ করে, আক্রমণ চেইনের পরবর্তী পর্যায়ে ট্রিগার করে, যা শেষ পর্যন্ত অর্কেস্ট্রেটর কম্পোনেন্ট ('WIN.cfg') কার্যকর করার দিকে পরিচালিত করে।

যে নির্দিষ্ট পদ্ধতির মাধ্যমে হুমকি অভিনেতারা জাল আপডেটের আকারে ড্রপার সরবরাহ করে তা অজানা থেকে যায়। যাইহোক, ঐতিহাসিক নিদর্শনগুলি নির্দেশ করে যে চীনা হুমকি অভিনেতা, যেমন BlackTech , Evasive Panda, Judgement Panda, এবং Mustang Panda, ম্যালওয়্যারের জন্য একটি বিতরণ চ্যানেল হিসাবে আপোসকৃত রাউটারগুলি ব্যবহার করেছে৷ গবেষকরা সম্ভাবনার পরামর্শ দেন যে আক্রমণকারীরা ক্ষতিগ্রস্তদের নেটওয়ার্কের মধ্যে একটি নেটওয়ার্ক ইমপ্লান্ট স্থাপন করছে, সম্ভাব্যভাবে রাউটার বা গেটওয়ের মতো দুর্বল নেটওয়ার্ক যন্ত্রপাতিকে লক্ষ্য করে।

NSPX30 স্পাইওয়্যার C2 কমান্ডের উপর ভিত্তি করে নির্দিষ্ট ক্রিয়া সম্পাদন করতে পারে

অর্কেস্ট্রেটর দুটি থ্রেড তৈরির সূচনা করে: একটি ব্যাকডোর ('msfmtkl.dat') অর্জনের জন্য নিবেদিত এবং অন্যটি তার প্লাগইনগুলি লোড করার উপর দৃষ্টি নিবদ্ধ করে এবং লোডার DLL দ্বারা চাইনিজ অ্যান্টি-ম্যালওয়্যার সমাধানগুলিকে বাইপাস করতে সক্ষম করার জন্য এক্সক্লুশনগুলি অন্তর্ভুক্ত করে৷

ব্যাকডোর ডাউনলোড করতে, একটি HTTP অনুরোধ www.baidu[.]com-এ করা হয়েছে, Baidu-এর মালিকানাধীন বৈধ চীনা সার্চ ইঞ্জিন৷ অনুরোধটি একটি অপ্রচলিত ব্যবহারকারী-এজেন্ট স্ট্রিং নিযুক্ত করে, উইন্ডোজ 98-এ ইন্টারনেট এক্সপ্লোরারকে অনুকরণ করে এর মূল ছদ্মবেশ ধারণ করে। সার্ভারের প্রতিক্রিয়া একটি ফাইলে সংরক্ষিত হয় এবং ব্যাকডোর কম্পোনেন্টটি বের করে সিস্টেমের মেমরিতে লোড করা হয়।

এর প্রারম্ভিক প্রক্রিয়ার অংশ হিসাবে, NSPX30 একটি প্যাসিভ UDP লিসেনিং সকেট স্থাপন করে যা কন্ট্রোলারের কাছ থেকে কমান্ড গ্রহণ করতে এবং ডেটা এক্সফিল্ট্রেশন সহজতর করার জন্য ডিজাইন করা হয়েছে। এটির কমান্ড-এন্ড-কন্ট্রোল (C2) পরিকাঠামোকে বেনামী করার জন্য সম্ভবত DNS ক্যোয়ারী প্যাকেটগুলিকে বাধা দেওয়া জড়িত৷

ব্যাকডোরে প্রদত্ত নির্দেশাবলী বিভিন্ন কার্যকারিতা সক্ষম করে, যার মধ্যে একটি বিপরীত শেল তৈরি করা, ফাইলের তথ্য সংগ্রহ করা, নির্দিষ্ট প্রক্রিয়া বন্ধ করা, স্ক্রিনশট ক্যাপচার করা, কীস্ট্রোক লগ করা এবং এমনকি সংক্রামিত মেশিন থেকে নিজেকে আনইনস্টল করা।