স্প্যারোডোর ব্যাকডোর ভেরিয়েন্ট
ফেমাসস্প্যারো নামে পরিচিত চীনা সাইবার গুপ্তচরবৃত্তি গোষ্ঠীটি একটি মার্কিন বাণিজ্য গোষ্ঠী এবং একটি মেক্সিকান গবেষণা ইনস্টিটিউটের উপর নতুন আক্রমণের সাথে যুক্ত বলে জানা গেছে, তারা শ্যাডোপ্যাড ম্যালওয়্যারের পাশাপাশি তাদের কুখ্যাত স্প্যারোডোর ব্যাকডোর মোতায়েন করেছে। ২০২৪ সালের জুলাই মাসে পরিলক্ষিত এই কার্যকলাপটি প্রথমবারের মতো শ্যাডোপ্যাড ব্যবহার করেছে, যা প্রায়শই চীনা রাষ্ট্র-স্পনসরিত ব্যক্তিদের দ্বারা ব্যবহৃত একটি হাতিয়ার।
সুচিপত্র
স্প্যারোডোরের বিবর্তন: আরও পরিশীলিত হুমকি
FamousSparrow তার SparrowDoor ব্যাকডোরের দুটি নতুন রূপ চালু করেছে, যার মধ্যে একটি মডুলার। এই সংস্করণগুলি কার্যকারিতার ক্ষেত্রে একটি উল্লেখযোগ্য উল্লম্ফনের প্রতিনিধিত্ব করে, দক্ষতা বৃদ্ধির জন্য কমান্ডের সমান্তরাল সম্পাদনকে অন্তর্ভুক্ত করে।
এটি পূর্ববর্তী সংস্করণগুলির থেকে একটি বড় আপগ্রেড চিহ্নিত করে। এটি ম্যালওয়্যারটিকে চলমান কাজগুলিকে স্থগিত না করেই ফাইল অপারেশন এবং ইন্টারেক্টিভ শেল সেশনের মতো কমান্ডগুলি কার্যকর করতে দেয়।
গুপ্তচরবৃত্তির ইতিহাস: বিখ্যাত চড়ুইয়ের উল্লেখযোগ্য আক্রমণ
২০২১ সালের সেপ্টেম্বরে প্রাথমিকভাবে উন্মোচিত হওয়া ফেমাসস্প্যারো হোটেল, সরকার, প্রকৌশল সংস্থা এবং আইন অফিসের উপর সাইবার আক্রমণের সাথে যুক্ত বলে জানা গেছে। গ্রুপটি পূর্বে স্বাধীনভাবে কাজ করেছে, স্প্যারোডোরকে তাদের একচেটিয়া ইমপ্লান্ট হিসেবে ব্যবহার করেছে।
সময়ের সাথে সাথে, গবেষকরা ফেমাসস্প্যারো এবং আর্থ এস্ট্রিজ, ঘোস্টএম্পেরর এবং সল্ট টাইফুনের মতো অন্যান্য চীনা হ্যাকিং গ্রুপের মধ্যে কৌশলগত মিল লক্ষ্য করেছেন, যারা টেলিকম সেক্টরকে লক্ষ্য করার জন্য পরিচিত। যাইহোক, এই ওভারল্যাপ সত্ত্বেও, ফেমাসস্প্যারো অনন্য বৈশিষ্ট্য সহ একটি স্বতন্ত্র হুমকি গোষ্ঠী হিসাবে শ্রেণীবদ্ধ রয়েছে।
আক্রমণ শৃঙ্খল: কীভাবে লঙ্ঘন উন্মোচিত হয়েছিল
আক্রমণটি শুরু হয় ফেমাসস্প্যারোর একটি দুর্বল আইআইএস সার্ভারে একটি ওয়েব শেল স্থাপনের মাধ্যমে। প্রাথমিক অ্যাক্সেস পাওয়ার সঠিক পদ্ধতিটি এখনও অজানা থাকলেও, উভয় ক্ষতিগ্রস্ত সংস্থাই উইন্ডোজ এবং মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারের পুরানো সংস্করণগুলি চালাচ্ছিল, যা তাদের প্রধান লক্ষ্যবস্তুতে পরিণত করেছিল।
একবার ওয়েব শেলটি স্থাপন করা হয়ে গেলে, এটি একটি রিমোট ব্যাচ স্ক্রিপ্টের জন্য একটি লঞ্চপ্যাড হিসেবে কাজ করে। এই স্ক্রিপ্টটি একটি Base64-এনকোডেড .NET ওয়েব শেল কার্যকর করে, যা শেষ পর্যন্ত SparrowDoor এবং ShadowPad উভয়কেই আপোস করা সিস্টেমে স্থাপন করে।
স্প্যারোডোর কীভাবে কাজ করে: এর ক্ষমতার গভীরে ডুব দিন
নতুন স্প্যারোডোর ভেরিয়েন্টগুলির মধ্যে একটির সাথে পূর্ববর্তী নথিভুক্ত ম্যালওয়্যার ক্রাউডোরের মিল রয়েছে। তবে, উভয় সংস্করণেই উল্লেখযোগ্য উন্নতি রয়েছে, যার মধ্যে রয়েছে:
- সমান্তরাল কার্য সম্পাদন - ব্যাকডোর একসাথে একাধিক কমান্ড চালাতে পারে, কর্মক্ষমতা উন্নত করে।
- ডায়নামিক কমান্ড হ্যান্ডলিং - কমান্ডগুলি একটি নতুন থ্রেড ট্রিগার করে, যা কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের সাথে একটি পৃথক সংযোগ স্থাপন করে।
- ভিকটিম ট্র্যাকিং - প্রতিটি সংযোগে একটি অনন্য ভিকটিম আইডি এবং কমান্ড আইডি থাকে, যা সিএন্ডসি সার্ভারকে চলমান কাজগুলি দক্ষতার সাথে পরিচালনা করতে সহায়তা করে।
SparrowDoor বিভিন্ন ধরণের ক্ষমতা দিয়ে সজ্জিত যা এর কার্যকারিতা উন্নত করে। এটি একটি প্রক্সি স্থাপন করতে পারে, গোপন যোগাযোগের অনুমতি দিতে পারে এবং রিয়েল-টাইম কমান্ড এক্সিকিউশন সক্ষম করার জন্য ইন্টারেক্টিভ শেল সেশন শুরু করতে পারে। ব্যাকডোরটি বিভিন্ন ফাইল অপারেশন পরিচালনা করতে সক্ষম, যার মধ্যে রয়েছে ফাইল পড়া, লেখা এবং পরিবর্তন করা, একই সাথে উপলব্ধ ডিরেক্টরি এবং ডেটা ম্যাপ করার জন্য ফাইল সিস্টেমের তালিকা তৈরি করা। অতিরিক্তভাবে, এটি বিস্তারিত হোস্ট তথ্য সংগ্রহ করে, আক্রমণকারীদের ক্ষতিগ্রস্থ সিস্টেমের অন্তর্দৃষ্টি প্রদান করে। প্রয়োজনে, SparrowDoor এমনকি নিজেকে সম্পূর্ণরূপে সরিয়ে ফেলতে পারে, নিশ্চিত করে যে এর উপস্থিতির চিহ্ন মুছে ফেলা হয়েছে।
একটি মডুলার পদ্ধতি: স্প্যারোডোরের উন্নত সংস্করণ
দ্বিতীয়, আরও উন্নত স্প্যারোডোর ভেরিয়েন্টটি একটি মডুলার, প্লাগইন-ভিত্তিক নকশা প্রবর্তন করে, নয়টি বিশেষায়িত মডিউলের মাধ্যমে এর ক্ষমতা প্রসারিত করে:
- সিএমডি - সিস্টেম কমান্ড কার্যকর করুন
- CFile – ফাইল অপারেশন পরিচালনা করুন
- CKeylogPlug – লগ কীস্ট্রোক
- CSocket – একটি TCP প্রক্সি স্থাপন করুন
- CShell – ইন্টারেক্টিভ শেল সেশন শুরু করুন
- CTransf – সংক্রামিত হোস্ট এবং C&C সার্ভারের মধ্যে ফাইল স্থানান্তর করা।
- CRdp – স্ক্রিনশট ক্যাপচার করুন
- CPro – চলমান প্রক্রিয়াগুলির তালিকা তৈরি এবং সমাপ্তি
- CFileMoniter - নির্দিষ্ট ডিরেক্টরিতে ফাইল সিস্টেমের পরিবর্তনগুলি ট্র্যাক করে।
বিখ্যাত চড়ুই: এখনও সক্রিয়, এখনও বিকশিত হচ্ছে
সাম্প্রতিক এই কার্যক্রম নিশ্চিত করে যে ফেমাসস্প্যারো কেবল এখনও সক্রিয় নয় বরং তার স্প্যারোডোর ব্যাকডোরের ক্রমাগত উন্নয়নেও বিনিয়োগ করছে। মডিউলার ক্ষমতা প্রবর্তন এবং শ্যাডোপ্যাড গ্রহণের মাধ্যমে, গ্রুপটি স্পষ্টতই বিকশিত হচ্ছে, যা ভবিষ্যতে আরও গুরুত্বপূর্ণ সাইবার নিরাপত্তা হুমকি তৈরি করছে।
