Socks5Systemz Botnet

'Socks5Systemz' নামে পরিচিত একটি প্রক্সি বটনেট ' PrivateLoader ' এবং ' Amadey ' ম্যালওয়্যার লোডারের মাধ্যমে বিশ্বব্যাপী কম্পিউটারে নিঃশব্দে অনুপ্রবেশ করছে। বর্তমানে, এটি সফলভাবে 10,000 ডিভাইসের সাথে আপস করেছে। এই ভয়ঙ্কর সফ্টওয়্যারটি সংক্রামিত কম্পিউটারগুলির নিয়ন্ত্রণ দখল করে, বিভিন্ন ধরনের অসাধু, অবৈধ, বা বেনামী ইন্টারনেট ট্র্যাফিকের জন্য তাদের অনিচ্ছাকৃত নালীতে রূপান্তরিত করে। বটনেট গ্রাহকদের এই পরিষেবাটি অফার করে, যারা প্রতিদিন $1 থেকে $140 পর্যন্ত ক্রিপ্টোকারেন্সিতে অর্থ প্রদানের জন্য এটি অ্যাক্সেস করতে পারে।

সাইবারসিকিউরিটি বিশেষজ্ঞরা আবিষ্কার করেছেন যে Socks5Systemz প্রক্সি বটনেট কমপক্ষে 2016 সাল থেকে চালু রয়েছে, তবুও এটি ছায়ায় কাজ করে উল্লেখযোগ্য মনোযোগ এড়াতে সক্ষম হয়েছে।

Socks5Systemz Botnet সংক্রামিত সিস্টেমে অধ্যবসায় স্থাপন করে

Socks5Systemz botnet PrivateLoader এবং Amadey ম্যালওয়্যারের মাধ্যমে ছড়িয়ে দেওয়া হয়, সাধারণত বিভিন্ন মাধ্যমে প্রচার করা হয় যেমন ফিশিং, এক্সপ্লয়েট কিট, ম্যালভার্টাইজিং এবং পিয়ার-টু-পিয়ার নেটওয়ার্ক থেকে ডাউনলোড করা ট্রোজানাইজড এক্সিকিউটেবল।

গবেষকরা 'previewer.exe' হিসাবে লেবেলযুক্ত বোটনেট নমুনাগুলি চিহ্নিত করেছেন, যা হোস্টের মেমরিতে অনুপ্রবেশ করতে এবং 'ContentDWSvc' নামে একটি উইন্ডোজ পরিষেবার মাধ্যমে অধ্যবসায় প্রতিষ্ঠা করার জন্য ডিজাইন করা হয়েছে। প্রক্সি বট পেলোড একটি 300 KB 32-বিট DLL রূপ নেয়৷ এটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ করতে এবং সংক্রামিত মেশিন সম্পর্কে প্রোফাইলিং তথ্য প্রেরণ করতে একটি ডোমেন জেনারেশন অ্যালগরিদম (DGA) সিস্টেম নিয়োগ করে।

প্রতিক্রিয়া হিসাবে, C2 সার্ভার কার্যকর করার জন্য নিম্নলিখিত কমান্ডগুলির মধ্যে একটি জারি করতে পারে:

• 'অলস': কোনো ব্যবস্থা নেওয়া হয় না।
• 'সংযোগ': একটি ব্যাককানেক্ট সার্ভারে একটি সংযোগ স্থাপন করুন।
• 'সংযোগ বিচ্ছিন্ন': ব্যাককানেক্ট সার্ভারের সাথে সংযোগ বিচ্ছিন্ন করুন।
• 'updips': ট্রাফিক পাঠানোর জন্য অনুমোদিত আইপি ঠিকানার তালিকা আপডেট করুন।
• 'upduris': এই কমান্ডটি এখনও বাস্তবায়িত হয়নি।

'কানেক্ট' কমান্ডটি বিশেষভাবে তাৎপর্যপূর্ণ, কারণ এটি পোর্ট 1074/TCP-এর মাধ্যমে একটি ব্যাককানেক্ট সার্ভারে একটি সংযোগ তৈরি করতে বটকে নির্দেশ দেয়।

একবার হুমকি অভিনেতাদের দ্বারা নিয়ন্ত্রিত অবকাঠামোর সাথে সংযুক্ত হয়ে গেলে, আপস করা ডিভাইসটি একটি প্রক্সি সার্ভারে রূপান্তরিত হয় যা অন্যান্য হুমকি অভিনেতাদের কাছে বাজারজাত করা যেতে পারে। ব্যাককানেক্ট সার্ভারের সাথে লিঙ্ক করার সময়, এটি আইপি ঠিকানা, প্রক্সি পাসওয়ার্ড এবং সীমাবদ্ধ পোর্টের একটি তালিকা নিশ্চিত করতে নির্দিষ্ট ফিল্ড প্যারামিটার ব্যবহার করে। এই পরামিতিগুলি নিশ্চিত করে যে উপযুক্ত লগইন শংসাপত্র সহ অনুমোদিত তালিকার বটগুলিই নিয়ন্ত্রণ সার্ভারের সাথে ইন্টারঅ্যাক্ট করতে পারে, কার্যকরভাবে অননুমোদিত প্রচেষ্টাকে ব্যর্থ করে।

Socks5Systemz Botnet বিভিন্ন মূল্য স্তরে বিক্রি হয়

ঠিক 2023 সালের অক্টোবরে, বিশ্লেষকরা চিহ্নিত ব্যাককানেক্ট সার্ভারগুলির সাথে পোর্ট 1074/TCP এর মাধ্যমে মোট 10,000টি অনন্য যোগাযোগের প্রচেষ্টা নথিভুক্ত করেছেন। এই প্রচেষ্টাগুলি সমান সংখ্যক শিকারের সাথে মিলে যায়। এই ক্ষতিগ্রস্থদের বিতরণ ব্যাপক এবং কিছুটা এলোমেলো, সমগ্র বিশ্ব জুড়ে বিস্তৃত। তবে ভারত, মার্কিন যুক্তরাষ্ট্র, ব্রাজিল, কলম্বিয়া, দক্ষিণ আফ্রিকা, আর্জেন্টিনা এবং নাইজেরিয়ার মতো দেশগুলিতে সংক্রমণের হার সবচেয়ে বেশি রেকর্ড করা হয়েছে।

Socks5Systemz প্রক্সি পরিষেবাগুলিতে অ্যাক্সেস দুটি সাবস্ক্রিপশন স্তরের মাধ্যমে পাওয়া যায়, যা 'স্ট্যান্ডার্ড' এবং 'ভিআইপি' নামে পরিচিত। গ্রাহকরা বেনামী পেমেন্ট গেটওয়ে 'ক্রিপ্টোমাস' এর মাধ্যমে অর্থ প্রদান করে।

বট-এর অনুমতি তালিকায় অন্তর্ভুক্ত করার জন্য গ্রাহকদের আইপি ঠিকানা উল্লেখ করতে হবে যেখান থেকে প্রক্সিড ট্রাফিকের উৎপত্তি হয়। স্ট্যান্ডার্ড গ্রাহকরা একটি একক থ্রেড এবং একটি প্রক্সি টাইপের মধ্যে সীমাবদ্ধ, যখন VIP ব্যবহারকারীরা 100 থেকে 5000 থ্রেড ব্যবহার করার নমনীয়তা উপভোগ করেন এবং SOCKS4, SOCKS5 বা HTTP প্রক্সি ধরনের থেকে নির্বাচন করতে পারেন।

আবাসিক প্রক্সি বটনেট ইন্টারনেট নিরাপত্তা এবং ব্যান্ডউইথের অননুমোদিত খরচের উপর যথেষ্ট প্রভাব সহ একটি লাভজনক ব্যবসার প্রতিনিধিত্ব করে। এই পরিষেবাগুলি সাধারণত শপিং বট চালানো এবং ভূ-নিষেধাজ্ঞাগুলিকে ফাঁকি দেওয়ার মতো উদ্দেশ্যে ব্যবহার করা হয়, এগুলিকে ব্যতিক্রমীভাবে জনপ্রিয় করে তোলে৷