SlowStepper Backdoor Malware

2023 সালে, দক্ষিণ কোরিয়ার একটি VPN প্রদানকারীর উপর অত্যাধুনিক সাপ্লাই চেইন আক্রমণের পর সাইবারসিকিউরিটি রাডারে পূর্বে একটি অনথিভুক্ত চীন-সংযুক্ত অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (APT) গ্রুপ প্লাসডেমন আবির্ভূত হয়। এই আক্রমণের সাথে বৈধ ইনস্টলারকে একটি আপসকৃত সংস্করণ দিয়ে প্রতিস্থাপন করা এবং তাদের স্বাক্ষর ইমপ্লান্ট, স্লোস্টেপার স্থাপন করা জড়িত।

স্লোস্টেপার: প্লাসডেমনের আর্সেনালে একটি বহুমুখী ব্যাকডোর

প্লাশডেমনের ক্রিয়াকলাপগুলির কেন্দ্রস্থল হল স্লোস্টেপার, একটি বৈশিষ্ট্য-সমৃদ্ধ ব্যাকডোর 30টিরও বেশি উপাদানের একটি টুলকিট নিয়ে গর্ব করে৷ C++, Python, এবং Go-তে লেখা, এই ব্যাকডোর গুপ্তচরবৃত্তি এবং অনুপ্রবেশের জন্য গ্রুপের প্রাথমিক যন্ত্র হিসেবে কাজ করে। SlowStepper কমপক্ষে 2019 সাল থেকে বিকাশে রয়েছে, একাধিক পুনরাবৃত্তির মাধ্যমে বিকশিত হচ্ছে, এর সর্বশেষ সংস্করণ 2024 সালের জুনে সংকলিত হয়েছে।

হাইজ্যাকড চ্যানেল: প্রাথমিক অ্যাক্সেসের চাবিকাঠি

প্লাসডেমনের আক্রমণ কৌশলটি প্রায়শই ওয়েব সার্ভারের দুর্বলতাকে কাজে লাগায় এবং বৈধ সফ্টওয়্যার আপডেট চ্যানেল হাইজ্যাক করে। 'ipany.kr' ওয়েবসাইটের মাধ্যমে বিতরণ করা একটি VPN সফ্টওয়্যারের NSIS ইন্সটলারে অনিরাপদ কোড এম্বেড করে গ্রুপটি প্রাথমিক অ্যাক্সেস পেয়েছে। আপোসকৃত ইনস্টলার একই সাথে বৈধ সফ্টওয়্যার এবং স্লোস্টেপার ব্যাকডোর সরবরাহ করেছে।

টার্গেট স্কোপ এবং ভিক্টিমোলজি

বোবি-ট্র্যাপড ইনস্টলার ডাউনলোড করা যেকোনো সত্তাকে আক্রমণ সম্ভাব্যভাবে প্রভাবিত করেছে। প্রমাণগুলি দক্ষিণ কোরিয়ার একটি সেমিকন্ডাক্টর কোম্পানি এবং একটি অজ্ঞাত সফ্টওয়্যার বিকাশকারীর সাথে যুক্ত নেটওয়ার্কগুলিতে আপস করা সফ্টওয়্যার ইনস্টল করার প্রচেষ্টা দেখায়৷ 2023 সালের শেষের দিকে জাপান এবং চীনে প্রাথমিক শিকার শনাক্ত করা হয়েছিল, যা এই গোষ্ঠীর ব্যাপকতাকে প্রতিফলিত করে।

একটি জটিল আক্রমণ চেইন: স্লোস্টেপারের স্থাপনা

আক্রমণটি ইনস্টলার ('IPanyVPNsetup.exe') চালানোর মাধ্যমে শুরু হয়, যা অধ্যবসায় সেট আপ করে এবং একটি লোডার ('AutoMsg.dll') চালু করে। এই লোডারটি 'PerfWatson.exe'-এর মতো বৈধ টুল ব্যবহার করে শেলকোড এক্সিকিউশন, নিষ্কাশন এবং অনিরাপদ DLL ফাইল সাইডলোডিং শুরু করে। চূড়ান্ত পর্যায়ে একটি নিরীহ নামযুক্ত ফাইল ('winlogin.gif') থেকে স্লোস্টেপার স্থাপন করা জড়িত।

একটি স্কেল-ডাউন সংস্করণ: স্লোস্টেপার লাইট

গবেষকরা এই প্রচারাভিযানে ব্যবহৃত স্লোস্টেপারের 'লাইট' বৈকল্পিক সনাক্ত করেছেন, যা সম্পূর্ণ সংস্করণের চেয়ে কম বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করে। এই সত্ত্বেও, এটি উল্লেখযোগ্য ক্ষমতা বজায় রাখে, একটি চীনা কোড ভান্ডার, GitCode-এ হোস্ট করা সরঞ্জামগুলির মাধ্যমে ব্যাপক নজরদারি এবং ডেটা সংগ্রহ সক্ষম করে।

কমান্ড-এন্ড-কন্ট্রোল: একটি মাল্টিস্টেজ অ্যাপ্রোচ

স্লোস্টেপার একটি শক্তিশালী মাল্টিস্টেজ কমান্ড-এন্ড-কন্ট্রোল (C&C) প্রোটোকল নিয়োগ করে। এটি প্রথমে যোগাযোগের জন্য আইপি ঠিকানাগুলি আনার জন্য একটি TXT রেকর্ডের জন্য DNS সার্ভারগুলিকে জিজ্ঞাসা করে৷ যদি এটি ব্যর্থ হয়, এটি একটি মাধ্যমিক পদ্ধতিতে প্রত্যাবর্তন করে, একটি ফলব্যাক ডোমেন সমাধান করতে একটি API ব্যবহার করে।

স্কেলে গুপ্তচরবৃত্তি: স্লোস্টেপারের মডুলার ক্ষমতা

SlowStepper ব্যাকডোর তথ্য সংগ্রহের জন্য বিস্তৃত সরঞ্জাম দিয়ে সজ্জিত, এটি থেকে ডেটা সংগ্রহ করতে সক্ষম করে:

• জনপ্রিয় ওয়েব ব্রাউজার - Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc ব্রাউজার, UC ব্রাউজার, 360 ব্রাউজার, এবং মজিলা ফায়ারফক্স
• ছবি ক্যাপচার এবং রেকর্ড স্ক্রীন.
• সংবেদনশীল নথি এবং অ্যাপ্লিকেশন ডেটা সংগ্রহ করুন - txt, .doc, .docx, .xls, .xlsx, .ppt, এবং .pptx, সেইসাথে LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, এর মতো অ্যাপ থেকে তথ্য। Oray Sunlogin, এবং ToDesk.
• DingTalk প্ল্যাটফর্ম থেকে চ্যাট বার্তা ক্যাপচার করুন।
• পাইথন প্যাকেজগুলি পুনরুদ্ধার করুন যা ক্ষতিকারক নয়।
• FileScanner এবং FileScannerAllDisk ফাইলগুলি সনাক্ত করতে সিস্টেম বিশ্লেষণ করে।
• getOperaCookie অপেরা ব্রাউজার থেকে কুকি বের করে।
• অবস্থান কম্পিউটারের আইপি ঠিকানা এবং জিপিএস স্থানাঙ্ক সনাক্ত করে।
• qpass Tencent QQ ব্রাউজার থেকে তথ্য সংগ্রহ করে, যা সম্ভবত qqpass মডিউল দ্বারা প্রতিস্থাপিত হতে পারে।
• qqpass এবং Webpass, Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome, এবং UC Browser সহ বিভিন্ন ব্রাউজার থেকে পাসওয়ার্ড সংগ্রহ করে।
• ScreenRecord স্ক্রিন রেকর্ডিং ক্যাপচার করে।
• টেলিগ্রাম টেলিগ্রাম থেকে তথ্য বের করে।
• WeChat WeChat প্ল্যাটফর্ম থেকে ডেটা পুনরুদ্ধার করে।
• WirelessKey ওয়্যারলেস নেটওয়ার্কের বিশদ এবং সংশ্লিষ্ট পাসওয়ার্ড সংগ্রহ করে।

অনন্য বৈশিষ্ট্যগুলির মধ্যে রয়েছে নির্দিষ্ট কাজের জন্য দূরবর্তী পেলোড এবং পাইথন মডিউলগুলি চালানোর জন্য একটি কাস্টম শেল চালু করার ক্ষমতা।

গুপ্তচরবৃত্তি এবং ডেটা চুরির উপর ফোকাস

ব্যাকডোরের মডুলার ডিজাইন লক্ষ্যযুক্ত ডেটা সংগ্রহকে সক্ষম করে, যেমন DingTalk এবং WeChat থেকে চ্যাট বার্তা, ব্রাউজার পাসওয়ার্ড এবং সিস্টেম অবস্থান ডেটা। অতিরিক্ত সরঞ্জামগুলি বিপরীত প্রক্সি কার্যকারিতা এবং ফাইল ডাউনলোড সমর্থন করে, এর গুপ্তচরবৃত্তির ক্ষমতা বাড়ায়।

একটি ক্রমবর্ধমান হুমকি: প্লাশডেমনের বিবর্তন

প্লাসডেমনের বিস্তৃত টুলসেট এবং চলমান উন্নয়নের প্রতি প্রতিশ্রুতি এটিকে একটি শক্তিশালী সত্তা করে তোলে। 2019 সাল থেকে গ্রুপের কার্যক্রমগুলি অত্যাধুনিক সরঞ্জাম তৈরির উপর একটি স্পষ্ট ফোকাস হাইলাইট করে, এটি সাইবার নিরাপত্তা ল্যান্ডস্কেপে একটি উল্লেখযোগ্য হুমকি হিসাবে অবস্থান করে।

উপসংহার: উদীয়মান হুমকির বিরুদ্ধে সতর্কতা

প্লাসডেমনের সাপ্লাই চেইন আক্রমণ এবং উন্নত ক্ষমতা সাইবার সিকিউরিটি সম্প্রদায়ে সতর্কতার গুরুত্বের ওপর জোর দেয়। বিশ্বস্ত সফ্টওয়্যার বিতরণ চ্যানেলগুলিকে লক্ষ্য করে, গ্রুপটি নেটওয়ার্কে অনুপ্রবেশ করার এবং জটিল গুপ্তচরবৃত্তি প্রচার চালানোর ক্ষমতা প্রদর্শন করেছে।