Silver Fox APT
সাইবার নিরাপত্তা বিশেষজ্ঞরা তাইওয়ানের ব্যবহারকারীদের লক্ষ্য করে একটি উন্নত এবং বিকশিত ফিশিং প্রচারণা আবিষ্কার করেছেন। সিলভার ফক্স এপিটি নামে চিহ্নিত একটি হুমকি গোষ্ঠী দ্বারা পরিচালিত, এই অভিযানটি ম্যালওয়্যার-লেসড ডকুমেন্ট এবং প্রতারণামূলক ইমেল ব্যবহার করে বিপজ্জনক রিমোট অ্যাক্সেস ট্রোজান (RATs) এর একটি সিরিজ সরবরাহ করে, যার মধ্যে রয়েছে HoldingHands RAT এবং Gh0stCringe, উভয়ই কুখ্যাত Gh0st RAT এর রূপ।
সুচিপত্র
পরিচিত মুখ দিয়ে ফিশিং: সরকারি কর্তৃপক্ষের ছদ্মবেশ ধারণ
আক্রমণটি শুরু হয় তাইওয়ানের জাতীয় কর ব্যুরো-এর মতো সরকারী সত্তার ছদ্মবেশে ফিশিং ইমেল দিয়ে। এই ইমেলগুলিতে প্রায়শই কর, চালান বা পেনশন সম্পর্কিত থিম অন্তর্ভুক্ত থাকে যাতে প্রাপকদের আস্থা কাজে লাগানো যায় এবং তাদের সংযুক্ত ফাইলগুলি খুলতে প্ররোচিত করা যায়। কিছু বৈচিত্র্যে, এমবেডেড ছবিগুলি ক্লিক করার সময় ম্যালওয়্যার ডাউনলোডের জন্য ট্রিগার হিসাবে কাজ করে, যা ঐতিহ্যবাহী নথি-ভিত্তিক লোভ থেকে একটি পরিবর্তনের প্রতিনিধিত্ব করে।
অস্ত্রযুক্ত নথি: ম্যালওয়্যার ডেলিভারি ভেহিকেল হিসেবে পিডিএফ এবং জিপ
প্রাথমিক ডেলিভারি প্রক্রিয়া হল ক্ষতিকারক PDF ডকুমেন্ট বা ফিশিং ইমেলের সাথে সংযুক্ত ZIP আর্কাইভ। এই ফাইলগুলিতে লিঙ্ক রয়েছে যা ব্যবহারকারীদের নিম্নলিখিত জিপ ফাইলগুলি হোস্ট করে এমন পৃষ্ঠাগুলি ডাউনলোড করতে পুনঃনির্দেশিত করে:
- বৈধ-চেহারার এক্সিকিউটেবল
- শেলকোড লোডার
- এনক্রিপ্ট করা শেলকোড
কার্যকর করা হলে, এই উপাদানগুলি কোনও আশঙ্কা ছাড়াই ম্যালওয়্যার স্থাপনের জন্য একসাথে কাজ করে।
বহু-পর্যায়ের সংক্রমণ শৃঙ্খল: স্তরগুলিতে প্রতারণা
সংক্রমণটি একাধিক জটিল পর্যায়ে ছড়িয়ে পড়ে:
শেলকোড লোডার অ্যাক্টিভেশন : শেলকোড লোডার এমবেডেড শেলকোড ডিক্রিপ্ট করে এবং শুরু করে।
DLL সাইড-লোডিং : বৈধ বাইনারিগুলিকে ক্ষতিকারক DLL ফাইলগুলি সাইডলোড করার জন্য অপব্যবহার করা হয়, যা ম্যালওয়্যারটিকে স্পষ্ট দৃষ্টিতে লুকিয়ে রাখে।
অ্যান্টি-ভিএম এবং প্রিভিলেজ এস্কেলেশন : এই কৌশলগুলি নিশ্চিত করে যে ম্যালওয়্যারটি স্যান্ডবক্সযুক্ত পরিবেশে সনাক্তকরণ এড়ায় এবং উন্নত সিস্টেম সুবিধাগুলি সুরক্ষিত করে।
লোড এবং উদ্দেশ্য: গুপ্তচরবৃত্তি এবং নিয়ন্ত্রণ
চূড়ান্ত পেলোডে 'msgDb.dat' নামে একটি ফাইল থাকে, যা প্রাথমিক কমান্ড-এন্ড-কন্ট্রোল (C2) মডিউল হিসেবে কাজ করে। একবার সক্রিয় হয়ে গেলে, এটি:
- সংবেদনশীল ব্যবহারকারীর তথ্য সংগ্রহ করে
- অতিরিক্ত উপাদান ডাউনলোড করে
- রিমোট ডেস্কটপ নিয়ন্ত্রণ সক্ষম করে
- সংক্রামিত সিস্টেমে ফাইল পরিচালনা করে
এই ক্ষমতাগুলি ক্ষতিগ্রস্ত মেশিনগুলিতে দীর্ঘমেয়াদী অ্যাক্সেস এবং নজরদারি বজায় রাখার অভিপ্রায় নির্দেশ করে।
বিকশিত কৌশল: সিলভার ফক্স এপিটি-র ধারাবাহিক উদ্ভাবন
সিলভার ফক্স এপিটি ক্রমাগত তার টুলসেট এবং আক্রমণ কৌশলগুলিকে পরিমার্জন করে, যেমনটি এর ব্যবহারের মাধ্যমে দেখা যায়:
- উইনোস ৪.০ ফ্রেমওয়ার্ক
- HTM ডাউনলোড পৃষ্ঠাগুলির মাধ্যমে Gh0stCringe প্রচার
- হোল্ডিংহ্যান্ডস RAT (Gh0stBins নামেও পরিচিত)
জটিল শেলকোড, স্তরযুক্ত লোডার এবং বিভিন্ন ডেলিভারি ভেক্টরের উপর এই গোষ্ঠীর নির্ভরতা সনাক্তকরণ এড়াতে এবং অনুপ্রবেশের সাফল্য সর্বাধিক করার জন্য একটি অবিরাম প্রচেষ্টা প্রদর্শন করে।
উপসংহার: অত্যাধুনিক হুমকিদাতাদের বিরুদ্ধে সতর্কতা গুরুত্বপূর্ণ
এই প্রচারণাটি সিলভার ফক্সের মতো APT গ্রুপগুলির ক্রমবর্ধমান পরিশীলিততা তুলে ধরে। বিশ্বস্ত থিম, প্রতারণামূলক ফাইল ফর্ম্যাট এবং গোপনে কার্যকর করার কৌশল ব্যবহার করে, এই অভিনেতারা লক্ষ্যবস্তু সংস্থাগুলির জন্য একটি গুরুতর হুমকি উপস্থাপন করে। অব্যাহত পর্যবেক্ষণ, সময়মত প্যাচিং এবং শক্তিশালী ইমেল সুরক্ষা এই ধরনের ক্রমবর্ধমান হুমকির বিরুদ্ধে গুরুত্বপূর্ণ প্রতিরক্ষা।
