QakBot ম্যালওয়্যার অপারেটররা 15টি নতুন C2 সার্ভারের বৃদ্ধির সাথে হুমকির প্রসারিত করে
সাম্প্রতিক একটি উন্নয়নে, QakBot (QBot নামেও পরিচিত) ম্যালওয়্যারের পিছনে থাকা গোষ্ঠী 2023 সালের জুনের শেষ নাগাদ 15টি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের একটি নতুন নেটওয়ার্ক প্রতিষ্ঠা করেছে৷ এই পর্যবেক্ষণটি ম্যালওয়ারের চলমান তদন্তের উপর ভিত্তি করে তৈরি করেছে৷ টিম সাইমরু দ্বারা পরিচালিত পরিকাঠামো। লক্ষণীয়ভাবে, এই সম্প্রসারণটি লুমেন ব্ল্যাক লোটাস ল্যাবসের একটি প্রকাশের পরে ঘনিষ্ঠভাবে অনুসরণ করে, যা প্রকাশ করে যে তার C2 সার্ভারগুলির এক চতুর্থাংশ শুধুমাত্র এক দিনের জন্য চালু থাকে, যা QakBot- এর অপারেশনগুলির গতিশীল এবং অধরা প্রকৃতির উপর আলোকপাত করে।
QakBot ঐতিহ্যগতভাবে গ্রীষ্মের মাসগুলিতে বর্ধিত ডাউনটাইমের একটি প্যাটার্ন প্রদর্শন করে, সাধারণত সেপ্টেম্বরে পুনরুত্থিত হয়। বর্তমান বছরে, সাইবার সিকিউরিটি ফার্মের মতে, এর স্প্যামিং কার্যক্রম প্রায় 22 জুন, 2023-এ বন্ধ হয়ে গেছে। যাইহোক, QakBot অপারেটররা এই ডাউনটাইমটিকে ছুটি হিসাবে ব্যবহার করে বা তাদের পরিকাঠামো এবং সরঞ্জামগুলিকে পরিমার্জন এবং আপডেট করার জন্য ব্যবহার করে কিনা তা দেখার বিষয়।
সুচিপত্র
সূক্ষ্ম পরিকাঠামো স্থাপন
Emotet এবং I cedID ম্যালওয়্যারে পর্যবেক্ষণ করা আর্কিটেকচারের মতো, QakBot-এর কমান্ড-এন্ড-কন্ট্রোল (C2) নেটওয়ার্ক একটি বহু-স্তরযুক্ত কাঠামো প্রদর্শন করে। এই ব্যবস্থার মধ্যে, C2 নোডগুলি রাশিয়ার ভার্চুয়াল প্রাইভেট সার্ভার (VPS) প্রদানকারীদের উপর হোস্ট করা উচ্চ-স্তরের Tier 2 (T2) C2 নোডগুলির সাথে যোগাযোগ করে৷ বেশিরভাগ বট C2 সার্ভার, যা আপোষহীন শিকার হোস্টদের সাথে যোগাযোগ করে, প্রাথমিকভাবে মার্কিন যুক্তরাষ্ট্র এবং ভারতে। T2 নোডগুলি থেকে আউটবাউন্ড সংযোগগুলি বিশ্লেষণ করলে দেখা যায় যে গন্তব্য আইপি ঠিকানাগুলি মার্কিন যুক্তরাষ্ট্র, ভারত, মেক্সিকো এবং ভেনিজুয়েলায় রয়েছে৷ C2 এবং T2 নোডের পাশাপাশি, একটি BackConnect (BC) সার্ভার আপোসকৃত বটগুলিকে প্রক্সিতে রূপান্তরিত করে, তাদের বিভিন্ন দূষিত কার্যকলাপ পরিবেশন করতে সক্ষম করে। এই জটিল নেটওয়ার্ক আর্কিটেকচারটি একাধিক ভৌগলিক অবস্থান জুড়ে এর ক্রিয়াকলাপগুলিকে সংগঠিত করার জন্য QakBot-এর প্রচেষ্টাকে আন্ডারস্কোর করে, সংক্রামিত সিস্টেমগুলিকে কার্যকরভাবে পরিচালনা এবং নিয়ন্ত্রণ করার ক্ষমতা বাড়ায়।
টায়ার 2 C2 নোড, সাইবার হুমকি এবং ম্যালওয়্যারের প্রেক্ষাপটে, একটি মাল্টি-টায়ার্ড আর্কিটেকচারের মধ্যে কমান্ড-এন্ড-কন্ট্রোল অবকাঠামোর মধ্যবর্তী স্তরের উল্লেখ করে। অত্যাধুনিক ম্যালওয়্যার স্ট্রেন যেমন QakBot, Emotet, এবং IcedID প্রায়শই এই আর্কিটেকচার ব্যবহার করে। টায়ার 2 C2 নোড হল প্রধান কমান্ড-এন্ড-কন্ট্রোল সার্ভার (টায়ার 1) এবং আপস করা ডিভাইস বা বট (এন্ডপয়েন্ট) এর মধ্যে মধ্যস্থতাকারী।
টায়ার 2 নোডের উদ্দেশ্য হল ম্যালওয়্যারের যোগাযোগ নেটওয়ার্কের স্থিতিস্থাপকতা এবং স্টিলথ বাড়ানো। তারা কেন্দ্রীয় C2 সার্ভার থেকে টায়ার 2 নোডের একটি নেটওয়ার্কে কমান্ড এবং নিয়ন্ত্রণ সংকেত বিতরণ করতে সহায়তা করে, যা পরে পৃথক আপস করা ডিভাইসগুলিতে এই নির্দেশাবলী রিলে করে। এই অনুক্রমিক সেটআপটি নিরাপত্তা বিশ্লেষকদের প্রধান C2 সার্ভারে দূষিত কার্যকলাপগুলিকে ট্রেস করা কঠিন করে তোলে, এইভাবে ম্যালওয়্যার সনাক্তকরণ এবং টেকডাউন এড়ানোর সম্ভাবনা বৃদ্ধি করে৷
টিয়ার 2 C2 নোডগুলি প্রায়শই বিভিন্ন কৌশল ব্যবহার করে আপস করা ডিভাইসগুলির সাথে যোগাযোগ করে, যেমন ডোমেন জেনারেশন অ্যালগরিদম বা ফাস্ট-ফ্লাক্স নেটওয়ার্ক, যা ম্যালওয়ারের যোগাযোগ চ্যানেলগুলিকে ব্লক বা বন্ধ করার প্রচেষ্টাকে আরও জটিল করে তোলে। হুমকি অভিনেতারা তাদের বটনেটের উপর নিয়ন্ত্রণ বজায় রাখতে এবং কেন্দ্রীয় সার্ভার এবং সংক্রামিত ডিভাইসগুলির মধ্যে সরাসরি যোগাযোগের সাথে সম্পর্কিত ঝুঁকিগুলি হ্রাস করার সময় দূষিত ক্রিয়াকলাপ সম্পাদনের সুবিধার্থে টিয়ার 2 C2 নোডগুলি ব্যবহার করে।
C2 সার্ভার শোষিত
টিম সিমরু দ্বারা উন্মোচিত সাম্প্রতিকতম অনুসন্ধানগুলি টি 2 স্তরের সাথে জড়িত বিদ্যমান C2 এর গণনায় একটি উল্লেখযোগ্য হ্রাস তুলে ধরে। এখন মাত্র আটটি অবশিষ্ট আছে, এই হ্রাস আংশিকভাবে ব্ল্যাক লোটাস ল্যাবসের 2023 সালের মে মাসে উচ্চ-স্তরের পরিকাঠামোকে শূন্য-রাউটিং করার জন্য দায়ী করা হয়েছে। কোম্পানিটি ভারতীয় C2s থেকে ট্র্যাফিকের উল্লেখযোগ্য হ্রাস এবং জুনের কাছাকাছি US C2s-এর প্রায় অন্তর্ধান লক্ষ্য করেছে। 2, যা তারা T2 স্তরটিকে নাল-রাউটিং এর সাথে যুক্ত করে। 15টি C2 সার্ভার ছাড়াও, জুনের আগে সক্রিয় ছয়টি পূর্ব-বিদ্যমান C2 সার্ভার এবং জুন মাসে দুটি নতুন সক্রিয় C2 সার্ভার স্প্যামিং কার্যক্রম বন্ধ হওয়ার পরেও জুলাই জুড়ে অব্যাহত কার্যকলাপ প্রদর্শন করেছে।
NetFlow ডেটার আরও যাচাই-বাছাই একটি পুনরাবৃত্ত প্যাটার্ন প্রদর্শন করে যেখানে উচ্চতর আউটবাউন্ড T2 সংযোগগুলি প্রায়ই অন্তর্মুখী বট C2 সংযোগগুলিতে স্পাইক অনুসরণ করে। অতিরিক্তভাবে, আউটবাউন্ড T2 সংযোগের বৃদ্ধি প্রায়শই বট C2 কার্যকলাপে হ্রাসের সাথে মিলে যায়। টিম সিমরু হাইলাইট করেছে যে T2 যোগাযোগের সাথে C2 পরিকাঠামো হিসাবে ভিকটিমদের নিয়োগ করার মাধ্যমে, QakBot ব্যবহারকারীদের উপর দ্বৈত বোঝা চাপিয়ে দেয়, প্রথমে প্রাথমিক সমঝোতার মাধ্যমে এবং তারপর তাদের হোস্টকে সর্বজনীনভাবে দূষিত হিসাবে স্বীকৃত হলে তাদের খ্যাতির সম্ভাব্য ক্ষতির মাধ্যমে। কোম্পানি জোর দিয়েছিল যে আপস্ট্রিম সার্ভারগুলির সাথে যোগাযোগ বিচ্ছিন্ন করে, ক্ষতিগ্রস্তরা C2 নির্দেশাবলী পেতে পারে না, কার্যকরভাবে বর্তমান এবং ভবিষ্যতের ব্যবহারকারীদের আপস থেকে রক্ষা করে।
QakBot সম্পর্কে
QakBot, QBot নামেও পরিচিত, প্রায় 2007 সাল থেকে একটি কুখ্যাত ব্যাঙ্কিং ট্রোজান এবং তথ্য চুরিকারী ম্যালওয়্যার। এটি প্রাথমিকভাবে উইন্ডোজ অপারেটিং সিস্টেমকে লক্ষ্য করে এবং সংক্রামিত কম্পিউটার থেকে সংবেদনশীল আর্থিক তথ্য চুরি করার জন্য ডিজাইন করা হয়েছে, যেমন ব্যাঙ্কিং শংসাপত্র, ক্রেডিট কার্ডের বিবরণ এবং ব্যক্তিগত তথ্য. QakBot সাধারণত দূষিত ইমেল সংযুক্তি, লিঙ্ক, বা সংক্রামিত ওয়েবসাইটের মাধ্যমে আসে। একবার একটি সিস্টেমে ইনস্টল হয়ে গেলে, এটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ করতে পারে, হ্যাকারদের সংক্রামিত মেশিনকে নিয়ন্ত্রণ করতে এবং দূরবর্তীভাবে চুরি হওয়া ডেটা বের করতে সক্ষম করে। QakBot বছরের পর বছর ধরে একটি উচ্চ স্তরের পরিশীলিততা প্রদর্শন করেছে, ক্রমাগত সনাক্তকরণ এবং সুরক্ষা ব্যবস্থাগুলি এড়াতে তার কৌশলগুলি বিকাশ করছে। এটি নেটওয়ার্ক শেয়ারের মাধ্যমেও ছড়িয়ে পড়তে পারে এবং নেটওয়ার্কের মধ্যে প্রচারের জন্য দুর্বলতাকে কাজে লাগাতে পারে। সামগ্রিকভাবে, সংবেদনশীল তথ্য চুরি করার এবং সম্ভাব্য আর্থিক ক্ষতির দিকে পরিচালিত করার ক্ষমতার কারণে QakBot ব্যক্তি এবং প্রতিষ্ঠানের জন্য একটি উল্লেখযোগ্য হুমকি।
QakBot ম্যালওয়্যার অপারেটররা 15টি নতুন C2 সার্ভারের বৃদ্ধির সাথে হুমকির প্রসারিত করে স্ক্রিনশট
