Sagerunex Malware Variants
লোটাস পান্ডা নামে পরিচিত কুখ্যাত হুমকি অভিনেতাকে ফিলিপাইন, ভিয়েতনাম, হংকং এবং তাইওয়ানের সরকার, উৎপাদন, টেলিযোগাযোগ এবং মিডিয়া খাতে সাইবার আক্রমণ চালাতে দেখা গেছে। এই আক্রমণগুলিতে সেজেরুনেক্স ব্যাকডোরের আপডেটেড সংস্করণ জড়িত, একটি ম্যালওয়্যার স্ট্রেন যা লোটাস পান্ডা কমপক্ষে ২০১৬ সাল থেকে ব্যবহার করে আসছে। APT (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপটি দীর্ঘমেয়াদী স্থায়ী কমান্ড শেল ব্যবহার করে এবং তার ম্যালওয়্যার অস্ত্রাগারের নতুন রূপ তৈরি করে তার কৌশলগুলি আরও উন্নত করে চলেছে।
সুচিপত্র
সাইবার গুপ্তচরবৃত্তিতে একটি সুপরিচিত নাম
লোটাস পান্ডা, যা বিলবাগ, ব্রোঞ্জ এলগিন, লোটাস ব্লসম, স্প্রিং ড্রাগন এবং থ্রিপ নামেও পরিচিত, একটি সন্দেহভাজন চীনা হ্যাকিং দল যা কমপক্ষে ২০০৯ সাল থেকে সক্রিয়। সাইবার নিরাপত্তা গবেষকরা প্রথমবারের মতো ২০১৮ সালের জুন মাসে এর কার্যক্রম প্রকাশ্যে প্রকাশ করেন, এই দলটিকে এশিয়া জুড়ে সাইবার গুপ্তচরবৃত্তির একটি সিরিজের সাথে যুক্ত করেন।
হাই-প্রোফাইল অনুপ্রবেশের ইতিহাস
২০২২ সালের শেষের দিকে, নিরাপত্তা বিশেষজ্ঞরা এশিয়া জুড়ে ডিজিটাল সার্টিফিকেট কর্তৃপক্ষের পাশাপাশি সরকারী ও প্রতিরক্ষা সংস্থাগুলির উপর লোটাস পান্ডার আক্রমণের বিস্তারিত বর্ণনা দেন। এই অভিযানগুলিতে হ্যানোটগ এবং সেজেরুনেক্সের মতো অত্যাধুনিক ব্যাকডোর মোতায়েন করা হয়েছিল, যা গুরুত্বপূর্ণ প্রতিষ্ঠানগুলিকে ক্ষতিগ্রস্ত করার জন্য গ্রুপের ক্ষমতাকে তুলে ধরে।
অস্পষ্ট প্রবেশের স্থান কিন্তু পরিচিত আক্রমণ পদ্ধতি
লোটাস পান্ডা তাদের সর্বশেষ লক্ষ্যবস্তুতে প্রবেশের জন্য সঠিক পদ্ধতিটি এখনও অজানা। তবে, প্রাথমিকভাবে প্রবেশাধিকার পেতে এই গোষ্ঠীটির ওয়াটারিং হোল এবং স্পিয়ার-ফিশিং আক্রমণ ব্যবহার করার ইতিহাস রয়েছে। একবার ভেতরে প্রবেশ করার পর, আক্রমণকারীরা সেজেরুনেক্স ব্যাকডোর ব্যবহার করে, যা এভোরা নামে পরিচিত একটি পুরানো ম্যালওয়্যার রূপের বিবর্তন বলে মনে করা হয়।
ফাঁকিবাজি কৌশল: বৈধ পরিষেবার শোষণ
লোটাস পান্ডার সাথে যুক্ত সাম্প্রতিক কার্যকলাপে সেজেরুনেক্সের দুটি নতুন 'বিটা' রূপ প্রকাশ পেয়েছে, যা তাদের সোর্স কোডের মধ্যে ডিবাগ স্ট্রিং দ্বারা চিহ্নিত করা হয়েছে। এই সংস্করণগুলি চালাকির সাথে ড্রপবক্স, এক্স (টুইটার নামে বেশি পরিচিত), এবং জিম্ব্রা-এর মতো বৈধ পরিষেবাগুলিকে কমান্ড-এন্ড-কন্ট্রোল (C2) চ্যানেল হিসাবে ব্যবহার করে, যা সনাক্তকরণকে আরও চ্যালেঞ্জিং করে তোলে।
উন্নত ব্যাকডোর ক্ষমতা
সেজেরুনেক্স ব্যাকডোরটি সংক্রামিত মেশিন সম্পর্কে বিস্তারিত তথ্য সংগ্রহ, এনক্রিপ্ট এবং আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি দূরবর্তী সার্ভারে এক্সফিল্টার করার জন্য ডিজাইন করা হয়েছে। ড্রপবক্স এবং এক্স ভেরিয়েন্টগুলি 2018 থেকে 2022 সালের মধ্যে ব্যবহৃত হয়েছিল বলে জানা গেছে, যখন জিমব্রা সংস্করণটি 2019 সাল থেকে কার্যকর রয়েছে।
জিমব্রা ওয়েবমেইল ভেরিয়েন্ট: একটি গোপন নিয়ন্ত্রণ কেন্দ্র
Sagerunex এর Zimbra ওয়েবমেইল ভেরিয়েন্টটি সহজ তথ্য সংগ্রহের বাইরেও কাজ করে। এটি আক্রমণকারীদের Zimbra মেইল কন্টেন্টের মাধ্যমে কমান্ড পাঠাতে সক্ষম করে, কার্যকরভাবে ক্ষতিগ্রস্ত মেশিনগুলিকে নিয়ন্ত্রণ করে। যদি কোনও ইমেলে কোনও বৈধ কমান্ড সনাক্ত করা হয়, তাহলে ব্যাকডোরটি এটি বের করে কার্যকর করে। অন্যথায়, ম্যালওয়্যার ইমেলটি মুছে ফেলে এবং আরও নির্দেশাবলীর জন্য অপেক্ষা করে। কার্যকর করা কমান্ডের ফলাফল RAR আর্কাইভ হিসাবে প্যাকেজ করা হয় এবং মেলবক্সের ড্রাফ্ট এবং ট্র্যাশ ফোল্ডারে সংরক্ষণ করা হয়।
একটি পূর্ণাঙ্গ অস্ত্রাগার: খেলার জন্য অতিরিক্ত সরঞ্জাম
লোটাস পান্ডা কেবল সেজেরুনেক্সের উপর নির্ভর করে না। দলটি অতিরিক্ত সরঞ্জাম মোতায়েন করে, যার মধ্যে রয়েছে:
- ক্রোম ব্রাউজারের শংসাপত্র সংগ্রহ করার জন্য একটি কুকি চুরিকারী।
- ভেনম, একটি ওপেন-সোর্স প্রক্সি ইউটিলিটি।
- উচ্চতর সিস্টেম অ্যাক্সেস লাভের জন্য একটি বিশেষাধিকার বৃদ্ধির সরঞ্জাম।
- সংগৃহীত তথ্য সংকুচিত এবং এনক্রিপ্ট করার জন্য কাস্টম সফ্টওয়্যার।
নেটওয়ার্ক রিকনেসাঁ এবং বাইপাসিং বিধিনিষেধ
আক্রমণকারীদের লক্ষ্যবস্তু পরিবেশ মূল্যায়নের জন্য নেট, টাস্কলিস্ট, আইপকনফিগ এবং নেটস্ট্যাটের মতো রিকনেসান্স কমান্ড চালাতে দেখা গেছে। এছাড়াও, তারা ইন্টারনেট সংযোগ পরীক্ষা করে, নেটওয়ার্ক সীমাবদ্ধতার উপর ভিত্তি করে তাদের পদ্ধতি সামঞ্জস্য করে। যদি অ্যাক্সেস সীমিত থাকে, তাহলে তারা চেষ্টা করে:
- সংযোগ স্থাপনের জন্য ভুক্তভোগীর প্রক্সি সেটিংস ব্যবহার করুন।
- বিচ্ছিন্ন মেশিনগুলিকে ইন্টারনেট-অ্যাক্সেসযোগ্য সিস্টেমের সাথে লিঙ্ক করতে ভেনম প্রক্সি টুল স্থাপন করুন।
একটি চলমান হুমকি
লোটাস পান্ডার ক্রমাগত বিবর্তন এবং পরিশীলিত কৌশল ইঙ্গিত দেয় যে এটি এখনও একটি উল্লেখযোগ্য সাইবার হুমকি। খাপ খাইয়ে নেওয়ার, গোপনে বৈধ পরিষেবাগুলি ব্যবহার করার এবং দীর্ঘমেয়াদী গুপ্তচরবৃত্তির কার্যক্রম পরিচালনা করার ক্ষমতা এটিকে এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চল এবং তার বাইরের সংস্থাগুলির জন্য একটি শক্তিশালী প্রতিপক্ষ করে তোলে।
