PaperCut দুর্বলতা প্যাচ করা হয়েছে
পেপারকাট, একটি জনপ্রিয় প্রিন্ট ম্যানেজমেন্ট সফ্টওয়্যার সমাধান, সম্প্রতি দুটি উল্লেখযোগ্য দুর্বলতার সম্মুখীন হয়েছে যা র্যানসমওয়্যার গ্যাং সক্রিয়ভাবে শোষণ করেছে। সম্ভাব্য ঝুঁকিগুলি দূর করার জন্য এই দুর্বলতাগুলি এখন কোম্পানি দ্বারা প্যাচ করা হয়েছে।
সুচিপত্র
CVE-2023-27350: অপ্রমাণিত রিমোট কোড এক্সিকিউশন ত্রুটি
এই দুর্বলতার একটি CVSS v3.1 স্কোর 9.8 আছে, যা একটি গুরুতর ঝুঁকির স্তর নির্দেশ করে। অননুমোদিত রিমোট কোড এক্সিকিউশন ত্রুটি আক্রমণকারীদের কোনো প্রকার প্রমাণীকরণ ছাড়াই দুর্বল সিস্টেমে নির্বিচারে কোড চালানোর অনুমতি দেয়, তাদের সংবেদনশীল ডেটাতে সীমাহীন অ্যাক্সেস এবং নেটওয়ার্কগুলির সাথে আপস করার ক্ষমতা দেয়। এই দুর্বলতার তীব্রতার সাথে আরও উদ্বেগ যুক্ত করা হল যে ধারণা কোডের প্রমাণ প্রকাশ করা হয়েছিল, এই ত্রুটিটি সহজেই কাজে লাগাতে আরও সাইবার অপরাধীদের জন্য একটি নির্দেশিকা প্রদান করে।
CVE-2023-27351: অপ্রমাণিত তথ্য প্রকাশের ত্রুটি
দ্বিতীয় দুর্বলতা, CVE-2023-27351, এর একটি CVSS v3.1 স্কোর 8.2, যা উচ্চ ঝুঁকি হিসাবে বিবেচিত হয়। এই ত্রুটিটি অপ্রমাণিত তথ্য প্রকাশের অনুমতি দেয়, যার অর্থ আক্রমণকারীরা বৈধ শংসাপত্রের প্রয়োজন ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে পারে। এই দুর্বলতাকে কাজে লাগানো সাইবার অপরাধীদের মূল্যবান তথ্য পেতে সক্ষম করবে এবং সম্ভাব্য আরও সুনির্দিষ্ট লক্ষ্যবস্তু আক্রমণের জন্য ব্যবহার করবে। রিমোট কোড এক্সিকিউশন ত্রুটির মতো সমালোচনামূলক না হলেও, এই দুর্বলতা এখনও ব্যবহারকারীদের নিরাপত্তা এবং গোপনীয়তার জন্য যথেষ্ট হুমকি তৈরি করেছে।
ধারণা কোডের প্রমাণ প্রকাশ করা হয়েছে
ধারণার প্রমাণ (PoC) কোড জনসাধারণের জন্য উপলব্ধ করা এই দুর্বলতার সাথে সম্পর্কিত ঝুঁকিগুলিকে বাড়িয়ে তুলেছে। এই PoC কোড বিস্তৃত প্রযুক্তিগত জ্ঞান ছাড়াই এই ত্রুটিগুলিকে কাজে লাগাতে সম্ভাব্য আক্রমণকারীদের জন্য একটি রোডম্যাপ প্রদান করেছে। PoC কোড প্রকাশ করা একটি দ্বি-ধারী তলোয়ার; যদিও এটি নিরাপত্তার ত্রুটি সম্পর্কে সচেতনতা ছড়িয়ে দিতে সাহায্য করে এবং নিরাপত্তা গবেষকদের প্যাচ তৈরি করতে সাহায্য করে, এটি আক্রমণ পরিচালনা করার জন্য একটি ব্লুপ্রিন্ট সহ আক্রমণকারীদেরও প্রদান করে। এই দুর্বলতার জন্য প্রকাশিত প্যাচগুলি PaperCut ব্যবহারকারী এবং তাদের নেটওয়ার্কগুলির নিরাপত্তা নিশ্চিত করার জন্য গুরুত্বপূর্ণ।
দূষিত অভিনেতা পেপারকাট দুর্বলতাগুলিকে কাজে লাগাচ্ছে৷
পেপারকাট দুর্বলতাগুলি পরিচিত হওয়ার সাথে সাথে বিভিন্ন র্যানসমওয়্যার গ্যাং দ্রুত তাদের সক্রিয়ভাবে শোষণ শুরু করে। এই ক্ষতিকারক অভিনেতাদের মধ্যে ছিল লেস টেম্পেস্ট এবং লকবিট র্যানসমওয়্যার স্ট্রেন, উভয়ই নেটওয়ার্কে অনুপ্রবেশ করতে এবং তাদের র্যানসমওয়্যার পেলোডগুলি স্থাপন করার জন্য দুর্বল পেপারকাট সার্ভারগুলিকে লক্ষ্য করে।
লেস টেম্পেস্ট (ক্লপ র্যানসমওয়্যার অ্যাফিলিয়েট) দুর্বল সার্ভারকে লক্ষ্য করে
লেস টেম্পেস্ট, সুপরিচিত ক্লপ র্যানসমওয়্যার গ্রুপের একটি সহযোগী, পেপারকাট দুর্বলতাগুলিকে কাজে লাগানোর জন্য প্রথম দূষিত অভিনেতাদের একজন। অননুমোদিত রিমোট কোড এক্সিকিউশন এবং তথ্য প্রকাশের ত্রুটিগুলি ব্যবহার করে, লেস টেম্পেস্ট দুর্বল সার্ভারগুলির সাথে আপস করতে সক্ষম হয়েছে, সংবেদনশীল ডেটা এবং নেটওয়ার্কগুলিতে সীমাহীন অ্যাক্সেস অর্জন করেছে। একবার এই আপস করা সিস্টেমগুলির ভিতরে, লেস টেম্পেস্ট ক্লপ র্যানসমওয়্যার স্থাপন করে, ফাইলগুলি এনক্রিপ্ট করে এবং ডিক্রিপশন কীগুলি ছেড়ে দেওয়ার জন্য মুক্তিপণ দাবি করে।
লকবিট র্যানসমওয়্যার স্ট্রেন পেপারকাট সার্ভারকেও লক্ষ্য করে
লকবিট , আরেকটি কুখ্যাত র্যানসমওয়্যার স্ট্রেন, পেপারকাট সার্ভারের দুর্বলতাগুলিকে সক্রিয়ভাবে শোষণ করছে। লেস টেম্পেস্টের কৌশলের মতো, লকবিট অপ্রমাণিত রিমোট কোড এক্সিকিউশন এবং তথ্য প্রকাশের ত্রুটিগুলিকে দুর্বল সিস্টেমে অনুপ্রবেশ করার জন্য কাজে লাগিয়েছে। সংবেদনশীল ডেটা এবং অভ্যন্তরীণ নেটওয়ার্কগুলিতে অ্যাক্সেসের সাথে, লকবিট তার র্যানসমওয়্যার পেলোড স্থাপন করেছে, যার ফলে এনক্রিপ্ট করা ফাইল এবং মুক্তিপণ দাবি করা হয়েছে। লকবিট এবং লেস টেম্পেস্টের মতো দূষিত অভিনেতাদের দ্বারা এই দুর্বলতাগুলির দ্রুত গ্রহণ করা এই পেপারকাট ত্রুটিগুলির তীব্রতাকে হাইলাইট করে এবং সাইবার হুমকি থেকে রক্ষা করার জন্য সফ্টওয়্যারকে নিয়মিত প্যাচিং এবং আপডেট করার গুরুত্বের উপর জোর দেয়।
লেস টেম্পেস্ট আক্রমণ কৌশল
Lace Tempest, Clop ransomware অ্যাফিলিয়েট, PaperCut সার্ভারের দুর্বলতাগুলিকে কার্যকরভাবে কাজে লাগাতে তার অনন্য আক্রমণ কৌশল তৈরি করেছে৷ PowerShell কমান্ড, কমান্ড এবং কন্ট্রোল সার্ভার সংযোগ এবং কোবাল্ট স্ট্রাইক বীকনের মতো অত্যাধুনিক পদ্ধতি ব্যবহার করে, লেস টেম্পেস্ট সফলভাবে সিস্টেমে অনুপ্রবেশ করেছে এবং এর র্যানসমওয়্যার পেলোড সরবরাহ করেছে।
TrueBot DLL বিতরণ করতে PowerShell কমান্ড ব্যবহার করে
লেস টেম্পেস্টের আক্রমণগুলি প্রায়শই পাওয়ারশেল কমান্ডগুলি সম্পাদনের মাধ্যমে শুরু হয়, যা তারা লক্ষ্যযুক্ত সিস্টেমে একটি ক্ষতিকারক TrueBot DLL (ডাইনামিক লিঙ্ক লাইব্রেরি) ফাইল সরবরাহ করতে ব্যবহার করে। এই DLL ফাইলটি তারপর সিস্টেমে লোড করা হয় এবং আরও দূষিত কার্যকলাপের জন্য একটি বিল্ডিং ব্লক হিসাবে কাজ করে, যেমন কমান্ড এবং নিয়ন্ত্রণ সার্ভারের সাথে সংযোগ স্থাপন এবং অতিরিক্ত ম্যালওয়্যার উপাদানগুলি ডাউনলোড করা।
একটি কমান্ড এবং কন্ট্রোল সার্ভারের সাথে সংযোগ করে
একবার TrueBot DLL জায়গায় হয়ে গেলে, লেস টেম্পেস্টের ম্যালওয়্যার একটি কমান্ড এবং কন্ট্রোল (C2) সার্ভারের সাথে সংযুক্ত হয়। এই সংযোগ আক্রমণকারীদের কমান্ড পাঠাতে এবং আপস করা সিস্টেম থেকে ডেটা গ্রহণ করতে দেয়, ডেটা এক্সফিল্ট্রেশনের সুবিধা দেয় এবং অতিরিক্ত ম্যালওয়্যার উপাদান বা সরঞ্জাম যেমন কোবাল্ট স্ট্রাইক বীকন স্থাপন করতে সক্ষম করে।
Ransomware ডেলিভারির জন্য কোবাল্ট স্ট্রাইক বীকন ব্যবহার করা হচ্ছে
লেস টেম্পেস্ট প্রায়ই কোবাল্ট স্ট্রাইক বীকন ব্যবহার করে তার আক্রমণ চেইনের অংশ হিসেবে। কোবাল্ট স্ট্রাইক হল একটি বৈধ অনুপ্রবেশ পরীক্ষার সরঞ্জাম, যার মধ্যে "বীকন" নামক একটি পোস্ট-শোষণ এজেন্ট রয়েছে। দুর্ভাগ্যবশত, লেস টেম্পেস্টের মতো সাইবার অপরাধীরা তাদের দূষিত উদ্দেশ্যের জন্য এই টুলটিকে পুনরায় ব্যবহার করেছে। এই ক্ষেত্রে, তারা লক্ষ্যযুক্ত সিস্টেমে ক্লপ র্যানসমওয়্যার সরবরাহ করতে কোবাল্ট স্ট্রাইক বীকন ব্যবহার করে। একবার র্যানসমওয়্যার স্থাপন করা হলে, এটি সিস্টেমে ফাইলগুলিকে এনক্রিপ্ট করে এবং ডিক্রিপশন কীগুলির জন্য মুক্তিপণ দাবি করে, কার্যকরভাবে ক্ষতিগ্রস্তদের ডেটা জিম্মি করে।
Ransomware অপারেশনে পরিবর্তন
সাম্প্রতিক বছরগুলিতে ক্লপের মতো র্যানসমওয়্যার গ্যাংগুলির অপারেশনগুলিতে একটি লক্ষণীয় পরিবর্তন হয়েছে৷ শুধুমাত্র ডেটা এনক্রিপ্ট করার উপর নির্ভর করে এবং ডিক্রিপশন কীগুলির জন্য মুক্তিপণ দাবি করার পরিবর্তে, আক্রমণকারীরা এখন চাঁদাবাজির উদ্দেশ্যে সংবেদনশীল ডেটা চুরি করাকে অগ্রাধিকার দিচ্ছে। কৌশলের এই পরিবর্তনটি সাইবার আক্রমণকে আরও ভয়ঙ্কর করে তুলেছে, কারণ দূষিত অভিনেতারা এখন চুরি করা ডেটার সুবিধা নিতে পারে যাতে তারা ক্ষতিগ্রস্থদের মুক্তিপণ দিতে বাধ্য করতে পারে, এমনকি যদি তাদের জায়গায় সঠিক ব্যাকআপ কৌশল থাকে।
চাঁদাবাজির জন্য ডেটা চুরির উপর ফোকাস করুন
র্যানসমওয়্যার গ্যাংরা বুঝতে পেরেছে যে চাঁদাবাজির উদ্দেশ্যে ডেটা চুরি করা ভুক্তভোগীদের জিম্মি করার জন্য এনক্রিপশনের উপর নির্ভর করার চেয়ে বেশি লাভজনক ফলাফল দিতে পারে। সংবেদনশীল তথ্য অপসারণ করে, আক্রমণকারীরা এখন ডার্ক ওয়েবে চুরি করা ডেটা প্রকাশ বা বিক্রি করার হুমকি দিতে পারে, সম্ভাব্যভাবে সংস্থাগুলির উল্লেখযোগ্য আর্থিক এবং সুনামগত ক্ষতি ঘটাতে পারে। এই অতিরিক্ত চাপ ভুক্তভোগীদের দাবিকৃত মুক্তিপণ পরিশোধের সম্ভাবনা বাড়িয়ে দেয়।
আক্রমণে ডেটা চুরিকে অগ্রাধিকার দেওয়া
এই পরিবর্তনের সাথে সামঞ্জস্য রেখে, লেস টেম্পেস্টের মতো র্যানসমওয়্যার গ্যাংগুলি তাদের আক্রমণে ডেটা চুরিকে অগ্রাধিকার দেওয়া শুরু করেছে। PowerShell কমান্ড, TrueBot DLL এবং কোবল্ট স্ট্রাইক বীকন ব্যবহার করার মতো অত্যাধুনিক আক্রমণের কৌশল বিকাশ করে, এই দূষিত অভিনেতারা দুর্বল সিস্টেমে অনুপ্রবেশ করতে এবং এটিকে এনক্রিপ্ট করার আগে ডেটা উত্তোলন করতে সক্ষম হয়, কার্যকরভাবে তাদের সফল চাঁদাবাজির সম্ভাবনা বাড়িয়ে তোলে।
ডেটা এক্সফিল্ট্রেশনের জন্য দুর্বলতা শোষণের সাথে ক্লপ গ্যাং এর ইতিহাস
ক্লপ গ্যাংয়ের ডেটা এক্সফিল্ট্রেশনের উদ্দেশ্যে দুর্বলতাগুলিকে কাজে লাগানোর ইতিহাস রয়েছে। উদাহরণস্বরূপ, 2020 সালে, ক্লপ অপারেটিভস সফলভাবে গ্লোবাল অ্যাসেলিয়ন হ্যাক করেছে এবং কোম্পানির ফাইল ট্রান্সফার অ্যাপ্লায়েন্স অ্যাপ্লিকেশনে প্রকাশিত দুর্বলতা ব্যবহার করে প্রায় 100টি কোম্পানির ডেটা চুরি করেছে। অতি সম্প্রতি, ক্লপ গ্যাং 130টি কোম্পানির ডেটা চুরি করার জন্য GoAnywhere MFT সুরক্ষিত ফাইল-শেয়ারিং প্ল্যাটফর্মে শূন্য-দিনের দুর্বলতা ব্যবহার করেছে। ডেটা চুরির জন্য দুর্বলতাগুলিকে কাজে লাগানোর এই প্যাটার্ন, সদা বিকশিত র্যানসমওয়্যার ল্যান্ডস্কেপের সাথে মিলিত, সংস্থাগুলিকে শক্তিশালী নিরাপত্তা ব্যবস্থা গ্রহণ করার এবং তাদের গুরুত্বপূর্ণ সম্পদগুলিকে রক্ষা করার জন্য আপ-টু-ডেট সফ্টওয়্যার বজায় রাখার প্রয়োজনীয়তা তুলে ধরে।