Threat Database Advanced Persistent Threat (APT) পাজলমেকার সাইবার ক্রাইম গ্যাং

পাজলমেকার সাইবার ক্রাইম গ্যাং

ইনফোসেক গবেষকরা অত্যন্ত লক্ষ্যবস্তু আক্রমণের একটি নতুন তরঙ্গ সনাক্ত করেছেন। অপারেশনের বৈশিষ্ট্যগুলি ইতিমধ্যে প্রতিষ্ঠিত সাইবার ক্রাইম গ্রুপগুলির TTPs (কৌশল, কৌশল এবং পদ্ধতি) এর সাথে মেলেনি। পূর্ববর্তী আক্রমণের প্রচারণার সাথে ওভারল্যাপের অভাব গবেষকরা পর্যবেক্ষিত আক্রমণটিকে একটি নতুন মনোনীত হুমকি অভিনেতাকে দায়ী করতে পরিচালিত করেছিল যার নাম তারা PuzzleMaker করেছিল।

প্রাথমিক আপস ভেক্টর

বিশ্লেষণে দেখা গেছে যে PuzzleMaker হ্যাকাররা Google Chrome এবং Microsoft Windows এ পাওয়া শূন্য-দিনের দুর্বলতার উপর নির্ভর করে। সঠিক ক্রোম শোষণগুলি চিহ্নিত করা যায়নি তবে পরিস্থিতিগত প্রমাণ CVE-2021-21224 দুর্বলতার দিকে নির্দেশ করে যা 90.0.4420.72 ক্রোম বিল্ডকে প্রভাবিত করতে পারে। এই বিশেষ শোষণটি 20 এপ্রিল, 2021-এ Google দ্বারা স্থির করা হয়েছিল।

যাইহোক, PuzzleMaker আক্রমণে নিযুক্ত দুটি উইন্ডোজ দুর্বলতা চিহ্নিত করা হয়েছিল এবং CVE-2021-31955 এবং CVE-2021-31956 উপাধি দেওয়া হয়েছিল। উভয় শোষণই 8 জুন, 2021-এ মাইক্রোসফ্ট দ্বারা প্যাচ করা হয়েছিল।

CVE-2021-31955 হল ntoskrnl.exe-এ একটি তথ্য প্রকাশের দুর্বলতা। এটি সুপারফেচ নামে একটি বৈশিষ্ট্যের সাথে সম্পর্কিত যা উইন্ডোজ ভিস্তার সাথে প্রবর্তিত হয়েছিল। SuperFetch মেমরিতে কিছু ঘন ঘন ব্যবহৃত অ্যাপ্লিকেশন প্রিলোড করে উইন্ডোজ সিস্টেমে লোডের সময় কমানোর জন্য ডিজাইন করা হয়েছিল। CVE-2021-31956 কে ntfs.sys-এ হিপ-ভিত্তিক বাফার ওভারফ্লো হিসাবে বর্ণনা করা হয়েছে।

PuzzleMaker ম্যালওয়্যার

টার্গেট করা সিস্টেমে পা রাখার পর, PuzzleMaker গ্যাং আক্রমণ চেইনের পৃথক পর্যায়ের জন্য দায়ী চারটি ম্যালওয়্যার মডিউল ড্রপ করতে এগিয়ে যায়। প্রথমত, একটি স্টেজার মডিউল সফল লঙ্ঘন নিশ্চিত করে এবং হ্যাকারদের অবহিত করে। এটি তখন একটি দূরবর্তী সার্ভার থেকে আরও পরিশীলিত, পরবর্তী পর্যায়ের ড্রপার মডিউল নিয়ে আসে। দেখা যাচ্ছে যে প্রতিটি শিকারের উপর ড্রপ করা স্টেজার মডিউলটিতে একটি কাস্টমাইজড কনফিগারেশন ব্লব রয়েছে যা কমান্ড-এন্ড-কন্ট্রোল সার্ভারের URL, সেশন আইডি এবং পরবর্তী ম্যালওয়্যার মডিউলটিকে ডিক্রিপ্ট করার জন্য প্রয়োজনীয় কীগুলি নির্ধারণ করে৷

ড্রপার মডিউল আপস করা মেশিনের %SYSTEM% ফোল্ডারে দুটি এক্সিকিউটেবল ফাইল ডাউনলোড করে। WmiPrvMon.exe একটি পরিষেবা হিসাবে নিবন্ধিত এবং এটি অন্য ফাইলের জন্য একটি লঞ্চার হিসাবে কাজ করে, যা আক্রমণের প্রধান পেলোড বলে মনে করা হয়। এটি wmimon.dll নামে একটি ফাইল হিসাবে বিতরণ করা হয় এবং এটি একটি দূরবর্তী শেল স্থাপন করতে সক্ষম।

শেলটিতে একটি হার্ডকোড করা URL রয়েছে যা C&C সার্ভারে পৌঁছানোর জন্য ব্যবহৃত হয় এবং সার্ভার এবং ম্যালওয়্যারের মধ্যে সমস্ত ট্র্যাফিক অনুমোদিত এবং এনক্রিপ্ট করা হয়। রিমোট শেলের মাধ্যমে, PuzzleMaker গ্যাং সংক্রামিত সিস্টেমের প্রক্রিয়াগুলি পরিচালনা করতে পারে, এটিকে স্লিপ মোডে প্রবেশ করতে বাধ্য করতে পারে, অতিরিক্ত ফাইল সরবরাহ করতে পারে বা নির্বাচিত ডেটা বের করে দিতে পারে, সেইসাথে ম্যালওয়্যারকে নিজেই মুছে ফেলার নির্দেশ দিতে পারে।

চলমান

সর্বাধিক দেখা

লোড হচ্ছে...