PureCrypter

সাইবার অপরাধীদের একটি দল পিউরক্রিপ্টার নামে একটি ম্যালওয়্যার ডাউনলোডার দিয়ে এশিয়া-প্যাসিফিক (এপিএসি) এবং উত্তর আমেরিকা অঞ্চলের সরকারী সংস্থাগুলিতে আক্রমণ করছে৷ আক্রমণের পিছনে সাইবার অপরাধীরা এই সংস্থাগুলির সিস্টেমে অনুপ্রবেশ করতে এবং সংবেদনশীল তথ্য সংগ্রহ করতে সক্ষম হয়েছিল বা কিছু ক্ষেত্রে, র্যানসমওয়্যার ব্যবহারের মাধ্যমে তাদের সিস্টেমকে জিম্মি করে রাখতে সক্ষম হয়েছিল। আক্রমণের তীব্রতা এই সত্যের দ্বারা জটিল হয় যে এই সরকারী সংস্থাগুলি প্রায়শই সংবেদনশীল এবং শ্রেণীবদ্ধ তথ্য সংরক্ষণ করে, যা তাদের সাইবার অপরাধীদের প্রধান লক্ষ্যবস্তুতে পরিণত করে।

নিরাপত্তা গবেষকরা খুঁজে পেয়েছেন যে হুমকি অভিনেতারা প্রাথমিক পেলোড হোস্ট করার জন্য ডিসকর্ডকে শোষণ করেছিল এবং প্রচারে ব্যবহৃত অতিরিক্ত হোস্ট সংগ্রহ করার উপায় হিসাবে একটি অলাভজনক সংস্থার সাথে আপস করেছিল। এর মানে হল যে আক্রমণকারীরা ম্যালওয়্যারের প্রাথমিক পেলোড বিতরণ করার জন্য ডিসকর্ডের মতো একটি বৈধ প্ল্যাটফর্ম ব্যবহার করেছে, যা নিরাপত্তা সিস্টেমের জন্য এটি সনাক্ত করা এবং ব্লক করা কঠিন করে তুলেছে। ম্যালওয়্যারটি রেডলাইন স্টিলার, এজেন্টটেসলা , ইটারনিটি , ব্ল্যাকমুন এবং ফিলাডেলফিয়া র্যানসমওয়্যার সহ বিভিন্ন ম্যালওয়্যার স্ট্রেন সরবরাহ করার জন্য পরিচিত।

PureCrypter একটি মাল্টি-স্টেজ অ্যাটাক চেইনের অংশ

PureCrypter ম্যালওয়্যার ডাউনলোডার ব্যবহার করে আক্রমণটি একটি ইমেল দিয়ে শুরু হয় যাতে একটি ডিসকর্ড অ্যাপ্লিকেশন URL রয়েছে৷ এই URLটি একটি PureCrypter নমুনার দিকে নিয়ে যায় যা একটি পাসওয়ার্ড-সুরক্ষিত ZIP সংরক্ষণাগারের মধ্যে থাকে। PureCrypter হল একটি ম্যালওয়্যার ডাউনলোডার যা .NET-ভিত্তিক সিস্টেমে কাজ করে৷ এর অপারেটর বিভিন্ন ধরনের ম্যালওয়্যার বিতরণের উদ্দেশ্যে এটিকে অন্যান্য সাইবার অপরাধীদের কাছে ভাড়া দেয়। PureCrypter কার্যকর করা হলে, এটি একটি কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভার থেকে পরবর্তী পর্যায়ের পেলোড আনয়ন করে এবং বিতরণ করে। এই নির্দিষ্ট ক্ষেত্রে, হুমকি অভিনেতাদের দ্বারা ব্যবহৃত কমান্ড এবং কন্ট্রোল সার্ভারটি একটি অলাভজনক সংস্থার আপোষকৃত সার্ভার ছিল।

গবেষকদের দ্বারা বিশ্লেষণ করা নমুনা ছিল AgentTesla, এক ধরনের ম্যালওয়্যার যা শিকারের কম্পিউটার থেকে তথ্য সংগ্রহ করে। একবার চালু হলে, AgentTesla সংগৃহীত ডেটা পাঠানোর জন্য একটি পাকিস্তান-ভিত্তিক FTP সার্ভারের সাথে একটি সংযোগ স্থাপন করে। মজার বিষয় হল যে হুমকি অভিনেতারা তাদের নিজস্ব FTP সার্ভার সেট আপ করেনি বরং একটি বিদ্যমান সার্ভারের নিয়ন্ত্রণ নিতে ফাঁস হওয়া শংসাপত্র ব্যবহার করেছে। একটি ইতিমধ্যে আপস করা সার্ভার ব্যবহার করে, তারা চিহ্নিত হওয়ার ঝুঁকি কমায় এবং তাদের ট্রেস কমিয়ে দেয়।

AgentTesla একটি হুমকি সাইবার অপরাধী টুল থেকে যায়

AgentTesla হল এক ধরনের .NET ম্যালওয়্যার যা সাইবার অপরাধীরা গত আট বছর ধরে ব্যবহার করে আসছে, 2020 সালের শেষের দিকে এবং 2021 সালের শুরুর দিকে এর ব্যবহার শীর্ষে পৌঁছেছে। বয়স হওয়া সত্ত্বেও, AgentTesla একটি উচ্চ-সক্ষম এবং ব্যয়-কার্যকর ব্যাকডোর হিসেবে রয়ে গেছে বছর ধরে উন্নত এবং উন্নত।

AgentTesla-এর অন্যতম প্রধান ক্ষমতা হল ভিকটিমদের কীস্ট্রোক লগ করার ক্ষমতা, সাইবার অপরাধীদের পাসওয়ার্ডের মতো সংবেদনশীল তথ্য ক্যাপচার করতে দেয়। ম্যালওয়্যারটি FTP ক্লায়েন্ট, ওয়েব ব্রাউজার বা ইমেল ক্লায়েন্টে সংরক্ষিত পাসওয়ার্ড সংগ্রহ করতে পারে। উপরন্তু, AgentTesla শিকারের ডেস্কটপের স্ক্রিনশট ক্যাপচার করতে পারে, সম্ভাব্য গোপনীয় তথ্য প্রকাশ করে। এটি পাঠ্য, পাসওয়ার্ড এবং ক্রেডিট কার্ডের বিশদ সহ সিস্টেমের ক্লিপবোর্ডে অনুলিপি করা যে কোনও ডেটা অ্যাক্সেস এবং বাধা দিতে পারে। একবার সংগ্রহ করা হলে, ডেটা FTP বা SMTP এর মাধ্যমে কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভারে এক্সফিল্ট করা যেতে পারে।

PureCrypter আক্রমণে, হুমকি অভিনেতারা 'cvtres.exe' নামক একটি বৈধ প্রক্রিয়ায় AgentTesla পেলোডকে ইনজেক্ট করার জন্য "প্রসেস হোলোয়িং" নামে একটি কৌশল ব্যবহার করেছিল। এই কৌশল নিরাপত্তা সরঞ্জাম থেকে সনাক্তকরণ এড়াতে সাহায্য করে।

C2 সার্ভার এবং কনফিগারেশন ফাইলের সাথে এর যোগাযোগগুলিকে নেটওয়ার্ক ট্র্যাফিক মনিটরিং টুল দ্বারা সনাক্ত করা থেকে নিরাপদ রাখতে, AgentTesla XOR এনক্রিপশন ব্যবহার করে। এই এনক্রিপশন পদ্ধতি নিরাপত্তা সিস্টেমের জন্য C2 সার্ভারের সাথে ম্যালওয়ারের যোগাযোগ সনাক্ত করা কঠিন করে তোলে, এটি সনাক্তকরণ এবং প্রশমিত করা একটি চ্যালেঞ্জিং হুমকি তৈরি করে।