পাওয়ার এক্সচেঞ্জ ম্যালওয়্যার
পাওয়ারএক্সচেঞ্জ নামে একটি নতুন চিহ্নিত ম্যালওয়্যার আক্রমণ অভিযানে আবির্ভূত হয়েছে। এই নভেল ব্যাকডোর পাওয়ারশেলকে এর প্রাথমিক স্ক্রিপ্টিং ভাষা হিসাবে নিয়োগ করে। ম্যালওয়্যারটি মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে অন-প্রিমিসে ব্যাকডোর স্থাপন করতে ব্যবহার করা হয়েছিল। হুমকির সাথে জড়িত হামলার ঘটনাগুলি APT34 (Advanced Persistent Threat) ইরানি রাষ্ট্রীয় হ্যাকারদের সাথে যুক্ত হতে পারে।
হুমকি অভিনেতাদের দ্বারা নিযুক্ত আক্রমণ ভেক্টর একটি ফিশিং ইমেলের মাধ্যমে লক্ষ্যযুক্ত মেইল সার্ভারে অনুপ্রবেশের সাথে জড়িত। ইমেলটিতে একটি সংকুচিত সংরক্ষণাগার রয়েছে যেখানে একটি আপোস করা এক্সিকিউটেবল রয়েছে৷ একবার কার্যকর করা হলে, PowerExchange মোতায়েন করা হয়েছিল, যা হ্যাকারদের অননুমোদিত অ্যাক্সেস এবং আপস করা মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে নিয়ন্ত্রণ পেতে সক্ষম করে। এরপরে, হুমকি অভিনেতারা এক্সচেঞ্জলিচ হিসাবে ট্র্যাক করা একটি ওয়েব শেলও ব্যবহার করে, যা 2020 সালে প্রথম উন্মোচিত হয়েছিল, যা তাদের সংবেদনশীল ডেটা বের করতে সক্ষম করে, প্রাথমিকভাবে আপোসকৃত মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারের মধ্যে সংরক্ষিত ব্যবহারকারীর শংসাপত্র চুরির উপর ফোকাস করে।
PowerExchange ম্যালওয়্যারের ব্যবহার, ExchangeLeech ওয়েব শেলের সাথে, APT34 দ্বারা তাদের হুমকিমূলক কার্যকলাপে নিযুক্ত অত্যাধুনিক কৌশলগুলি প্রদর্শন করে। সংযুক্ত আরব আমিরাতে অবস্থিত একটি সরকারী সংস্থার আপোষকৃত সিস্টেমগুলির উপর একটি গবেষণা দল দ্বারা PowerExchange ব্যাকডোর আবিষ্কার করা হয়েছিল৷
সুচিপত্র
পাওয়ারএক্সচেঞ্জ ম্যালওয়্যার ভিকটিম এর এক্সচেঞ্জ সার্ভার শোষণ করে
PowerExchange ম্যালওয়্যার আক্রমণ অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে। এটি এক্সচেঞ্জ ওয়েব সার্ভিসেস (EWS) API-এর মাধ্যমে প্রেরিত ইমেলগুলিকে ব্যবহার করে, সংগৃহীত তথ্য পাঠাতে এবং বেস64-এনকোডেড কমান্ডগুলি পেতে এই ইমেলের মধ্যে পাঠ্য সংযুক্তিগুলি ব্যবহার করে। এই ইমেলগুলি সাবজেক্ট লাইন 'আপডেট মাইক্রোসফ্ট এজ' বহন করে ভুক্তভোগীর দ্বারা অতিরিক্ত যাচাই-বাছাই এড়াতে চেষ্টা করে।
C2 চ্যানেল হিসাবে ভিকটিম এর এক্সচেঞ্জ সার্ভারের ব্যবহার হুমকি অভিনেতাদের দ্বারা নিযুক্ত একটি ইচ্ছাকৃত কৌশল। এই পদ্ধতিটি ব্যাকডোরকে বৈধ ট্র্যাফিকের সাথে মিশে যেতে দেয়, যা নেটওয়ার্ক-ভিত্তিক সনাক্তকরণ এবং প্রতিকার ব্যবস্থার জন্য হুমকি সনাক্ত করা এবং প্রশমিত করা অত্যন্ত কঠিন করে তোলে। সংগঠনের অবকাঠামোর মধ্যে এর কার্যকলাপগুলিকে ছদ্মবেশী করে, হুমকি অভিনেতারা কার্যকরভাবে সনাক্তকরণ এড়াতে এবং একটি গোপন উপস্থিতি বজায় রাখতে পারে।
পাওয়ারএক্সচেঞ্জ ব্যাকডোর অপারেটরদের আপস করা সার্ভারের উপর ব্যাপক নিয়ন্ত্রণ প্রদান করে। এটি তাদের বিভিন্ন কমান্ড কার্যকর করতে সক্ষম করে, যার মধ্যে আপোসকৃত সার্ভারগুলিতে অতিরিক্ত হুমকির পেলোড সরবরাহ করা এবং কাটা ফাইলগুলি বের করা। এই বহুমুখিতা হুমকি অভিনেতাদের তাদের নাগাল প্রসারিত করতে এবং আপোষহীন পরিবেশের মধ্যে আরও ক্ষতিকারক কার্যকলাপ চালাতে সক্ষম করে।
পাওয়ারএক্সচেঞ্জ ব্যাকডোর অ্যাটাকের অংশ হিসাবে অতিরিক্ত হুমকি ইমপ্লান্টগুলি মোতায়েন করা হয়
অতিরিক্ত আপোসকৃত শেষ পয়েন্ট যেখানে অন্যান্য বিভিন্ন অনিরাপদ ইমপ্লান্ট রয়েছে তাও চিহ্নিত করা হয়েছে। উল্লেখযোগ্যভাবে, আবিষ্কৃত ইমপ্লান্টগুলির মধ্যে একটি ছিল এক্সচেঞ্জলিচ ওয়েব শেল, যা System.Web.ServiceAuthentication.dll নামে একটি ফাইলের ছদ্মবেশে ছদ্মবেশে ছিল, যা সাধারণত বৈধ আইআইএস ফাইলগুলির সাথে যুক্ত নামকরণের নিয়মগুলি গ্রহণ করে।
এক্সচেঞ্জলিচ সক্রিয়ভাবে সংবেদনশীল তথ্য সংগ্রহ করে কাজ করে, বিশেষত ব্যক্তিদের ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলিকে লক্ষ্য করে যারা বেসিক প্রমাণীকরণ ব্যবহার করে আপস করা এক্সচেঞ্জ সার্ভারগুলিতে লগ ইন করে। এটি ওয়েব শেলের স্পষ্ট পাঠ্য HTTP ট্র্যাফিক নিরীক্ষণ এবং ওয়েব ফর্ম ডেটা বা HTTP শিরোনাম থেকে শংসাপত্রগুলি ক্যাপচার করার ক্ষমতার মাধ্যমে অর্জন করা হয়।
আপস করা সার্ভারগুলিকে আরও কাজে লাগাতে, আক্রমণকারীরা ওয়েব শেলকে কুকি প্যারামিটারের মাধ্যমে সংগৃহীত শংসাপত্র লগগুলি প্রেরণ করার নির্দেশ দিতে পারে। এটি তাদের সন্দেহের উদ্রেক না করে গোপনে বন্দী শংসাপত্রগুলিকে বহিষ্কার করতে দেয়৷
PowerExchange আক্রমণগুলি APT34 হ্যাকার গ্রুপের জন্য দায়ী
পাওয়ারএক্সচেঞ্জ আক্রমণের জন্য দায়ী করা হয়েছে ইরানের রাষ্ট্র-স্পন্সরড হ্যাকিং গ্রুপ যা APT34 বা Oilrig নামে পরিচিত। গবেষকরা PowerExchange ম্যালওয়্যার এবং ট্রাইফাইভ ম্যালওয়্যারের মধ্যে উল্লেখযোগ্য মিলগুলি চিহ্নিত করে এই সংযোগটি তৈরি করেছেন যা পূর্বে APT34 দ্বারা কুয়েত সরকারী সংস্থার সার্ভারগুলির মধ্যে ব্যাকডোর স্থাপন করতে ব্যবহৃত হয়েছিল৷
PowerExchange এবং TriFive উভয়ই উল্লেখযোগ্য সাদৃশ্য প্রদর্শন করে। এগুলি উভয়ই PowerShell-এর উপর ভিত্তি করে, নির্ধারিত কাজের মাধ্যমে সক্রিয় করা হয় এবং C2 চ্যানেল হিসাবে EWS API ব্যবহার করে সংস্থার এক্সচেঞ্জ সার্ভারকে কাজে লাগায়। যদিও এই ব্যাকডোরগুলির কোড স্পষ্টতই আলাদা, গবেষকরা অনুমান করেন যে PowerExchange ট্রাইফাইভ ম্যালওয়্যারের একটি বিবর্তিত এবং উন্নত পুনরাবৃত্তির প্রতিনিধিত্ব করে।
অধিকন্তু, এটি উল্লেখ করার মতো যে APT34 ধারাবাহিকভাবে ফিশিং ইমেলগুলিকে তাদের আক্রমণ ক্রিয়াকলাপের প্রাথমিক সংক্রমণ ভেক্টর হিসাবে নিয়োগ করে। ক্ষতিগ্রস্থদের অনিরাপদ বিষয়বস্তুর সাথে ইন্টারঅ্যাক্ট করতে প্রলুব্ধ করে বা এই ইমেলের মধ্যে দূষিত লিঙ্কগুলিতে ক্লিক করার মাধ্যমে, APT34 লক্ষ্যবস্তু পরিবেশে একটি পা রাখা লাভ করে, তাদের হুমকিমূলক কার্যকলাপে এগিয়ে যেতে সক্ষম করে। APT34 এর আগে সংযুক্ত আরব আমিরাতের অন্যান্য সংস্থাগুলিকে লঙ্ঘন করেছে এই সত্যটি এই আক্রমণগুলির সাথে তাদের যুক্ত করার প্রমাণ যোগ করে।
