SPECTRALVIPER Malware

ভিয়েতনামের পাবলিক কোম্পানিগুলি SPECTRALVIPER নামক একটি নতুন চিহ্নিত ব্যাকডোর ব্যবহার করে একটি পরিশীলিত আক্রমণের লক্ষ্যে পরিণত হয়েছে৷ SPECTRALVIPER হল একটি উন্নত x64 ব্যাকডোর যা অত্যন্ত অস্পষ্ট এবং পূর্বে অপ্রকাশিত ছিল। PE লোডিং এবং ইনজেকশন, ফাইল আপলোড এবং ডাউনলোড, ফাইল এবং ডিরেক্টরি ম্যানিপুলেশন, সেইসাথে টোকেন ছদ্মবেশ সহ এই হুমকির সরঞ্জামটির বিভিন্ন ক্ষমতা রয়েছে।

এই হামলার পিছনে হুমকি অভিনেতা চিহ্নিত করা হয়েছে এবং REF2754 হিসাবে ট্র্যাক করা হয়েছে। এই অভিনেতা APT32 , ক্যানভাস সাইক্লোন (পূর্বে বিসমাথ), কোবাল্ট কিটি এবং ওশান লোটাস সহ একাধিক নামে পরিচিত একটি ভিয়েতনামী হুমকি গোষ্ঠীর সাথে যুক্ত। এটি চলমান প্রচারণা এবং এই হুমকি গোষ্ঠীর কার্যকলাপের মধ্যে একটি সংযোগের পরামর্শ দেয়।

SPECTRALVIPER অন্যান্য ম্যালওয়্যার হুমকির পাশাপাশি মোতায়েন করা হয়েছে

ডনটলোডার সম্বলিত একটি স্বাক্ষরবিহীন DLL ফাইল লোড করার সুবিধার্থে SysInternals ProcDump ইউটিলিটি ব্যবহার করা হুমকিমূলক কার্যকলাপের সাথে জড়িত। এই লোডারটিকে বিশেষভাবে P8LOADER এবং POWERSEAL-এর মতো অন্যান্য ম্যালওয়্যার ভেরিয়েন্টের পাশাপাশি SPECTRALVIPER লোড করার জন্য কনফিগার করা হয়েছে৷

SPECTRALVIPER, একবার লোড হলে, হুমকি অভিনেতা দ্বারা নিয়ন্ত্রিত একটি সার্ভারের সাথে যোগাযোগ স্থাপন করে। এটি একটি সুপ্ত অবস্থায় রয়েছে, পরবর্তী নির্দেশের জন্য অপেক্ষা করছে। বিশ্লেষণ এড়াতে, SPECTRALVIPER নিয়ন্ত্রণ প্রবাহ সমতলকরণের মতো অস্পষ্টকরণ কৌশল নিযুক্ত করে, যার কার্যকারিতা বোঝার জন্য এটি আরও চ্যালেঞ্জিং করে তোলে।

P8LOADER, C++ এ লেখা, ফাইল থেকে বা সরাসরি মেমরি থেকে নির্বিচারে পেলোড চালানোর ক্ষমতা রাখে। উপরন্তু, হুমকি অভিনেতারা POWERSEAL নামে একটি কাস্টমাইজড পাওয়ারশেল রানার নিয়োগ করে, যেটি সরবরাহ করা পাওয়ারশেল স্ক্রিপ্ট বা কমান্ড কার্যকর করতে পারদর্শী।

SPECTRALVIPER এ পাওয়া একাধিক হুমকির ক্ষমতা

SPECTRALVIPER বিভিন্ন ক্ষমতা প্রদর্শন করে যা এর ক্ষতিকর কার্যকলাপে অবদান রাখে। এর PE লোডিং এবং ইনজেকশন কার্যকারিতা সহ, SPECTRALVIPER এক্সিকিউটেবল ফাইল লোড এবং ইনজেকশন করতে পারে, x86 এবং x64 উভয় আর্কিটেকচারকে সমর্থন করে। এই বৈশিষ্ট্যটি ম্যালওয়্যারকে বৈধ প্রক্রিয়ার মধ্যে একটি খারাপ কোড কার্যকর করতে সক্ষম করে, কার্যকরভাবে এর কার্যকলাপগুলিকে ছদ্মবেশী করে এবং সনাক্তকরণ এড়িয়ে যায়।

SPECTRALVIPER এর আরেকটি উল্লেখযোগ্য ক্ষমতা হল নিরাপত্তা টোকেন ছদ্মবেশী করার ক্ষমতা। এই টোকেনগুলির ছদ্মবেশ ধারণ করে, ম্যালওয়্যার উচ্চতর সুবিধাগুলি অর্জন করতে পারে, নির্দিষ্ট নিরাপত্তা ব্যবস্থাগুলিকে ফাঁকি দিয়ে৷ এই অননুমোদিত অ্যাক্সেস আক্রমণকারীকে সংবেদনশীল সংস্থানগুলিকে ম্যানিপুলেট করার এবং তাদের অনুমোদিত সুযোগের বাইরে কাজ করার ক্ষমতা দেয়৷

উপরন্তু, SPECTRALVIPER আপস করা সিস্টেমে এবং থেকে ফাইল ডাউনলোড এবং আপলোড করার ক্ষমতা রাখে। এই কার্যকারিতা আক্রমণকারীকে শিকারের মেশিন থেকে সংবেদনশীল ডেটা বের করে দিতে বা অতিরিক্ত দূষিত পেলোড সরবরাহ করতে দেয়, আপসহীন পরিবেশের মধ্যে তাদের নিয়ন্ত্রণ এবং অধ্যবসায়কে প্রসারিত করে।

উপরন্তু, ব্যাকডোর আপস করা সিস্টেমে ফাইল এবং ডিরেক্টরিগুলিকে ম্যানিপুলেট করতে পারে। এর মধ্যে ফাইল বা ডিরেক্টরি তৈরি করা, মুছে ফেলা, পরিবর্তন করা এবং সরানো অন্তর্ভুক্ত। শিকারের ফাইল সিস্টেমের উপর নিয়ন্ত্রণ অনুশীলন করার মাধ্যমে, আক্রমণকারী তাদের উদ্দেশ্য অনুসারে ফাইল এবং ডিরেক্টরিগুলিকে ম্যানিপুলেট এবং ম্যানিপুলেট করার ব্যাপক কর্তৃত্ব লাভ করে।

এই ক্ষমতাগুলি সম্মিলিতভাবে SPECTRALVIPER দ্বারা উত্থাপিত হুমকিতে অবদান রাখে, আক্রমণকারীকে আপোসকৃত সিস্টেমের উপর অধ্যবসায় এবং নিয়ন্ত্রণ বজায় রেখে বিভিন্ন অনিরাপদ কার্যকলাপ চালাতে সক্ষম করে।

অন্যান্য সাইবার অপরাধী গ্রুপের সাথে সম্ভাব্য সংযোগ

উল্লেখযোগ্যভাবে, REF2754 এর সাথে যুক্ত কার্যকলাপগুলি REF4322 হিসাবে উল্লেখ করা অন্য হুমকি গোষ্ঠীর সাথে কৌশলগত মিল প্রদর্শন করে। পরবর্তী গ্রুপটি প্রাথমিকভাবে ভিয়েতনামী সত্তাগুলিকে লক্ষ্য করে এবং PHOREAL (রিজো নামেও পরিচিত) নামে পরিচিত একটি শোষণ-পরবর্তী ইমপ্লান্ট স্থাপনের জন্য পরিচিত।

এই সংযোগগুলি এই অনুমানের দিকে পরিচালিত করেছে যে উভয় REF4322 এবং REF2754 কার্যকলাপ গোষ্ঠীই রাষ্ট্রের সাথে যুক্ত একটি ভিয়েতনামী হুমকি সত্তা দ্বারা পরিচালিত সমন্বিত প্রচারাভিযানের প্রতিনিধিত্ব করতে পারে। এই সম্ভাবনার প্রভাবগুলি এই অত্যাধুনিক এবং লক্ষ্যযুক্ত সাইবার অপারেশনগুলিতে জাতি-রাষ্ট্র অভিনেতাদের সম্ভাব্য সম্পৃক্ততার উপর আন্ডারস্কোর করে।