TCESB ম্যালওয়্যার

এশিয়া জুড়ে সাইবার আক্রমণের জন্য পরিচিত একটি চীনা-অনুমোদিত হুমকি অভিনেতাকে ESET নিরাপত্তা সফ্টওয়্যারের দুর্বলতাকে কাজে লাগিয়ে পূর্বে নথিভুক্ত না হওয়া ম্যালওয়্যার, যার কোডনাম TCESB, সরবরাহ করতে দেখা গেছে। এই নতুন আবিষ্কৃত ম্যালওয়্যারটি নিরাপত্তা ব্যবস্থাগুলিকে এড়িয়ে যাওয়ার এবং সনাক্ত না করেই পেলোড চালানোর জন্য ডিজাইন করা হয়েছে।

টডিক্যাট: এশিয়ায় একটি স্থায়ী হুমকি

টডিক্যাট, একটি উন্নত হুমকি গোষ্ঠী, কমপক্ষে ২০২০ সালের ডিসেম্বর থেকে সক্রিয়, এশিয়ার একাধিক সত্তাকে লক্ষ্য করে। তাদের কার্যকলাপের সাম্প্রতিক তদন্তে দেখা গেছে যে তারা বিভিন্ন সরঞ্জাম ব্যবহার করে ঝুঁকিপূর্ণ সিস্টেমে অবিচ্ছিন্ন অ্যাক্সেস বজায় রাখে এবং এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চলের সংস্থাগুলি থেকে বিপুল পরিমাণে ডেটা সংগ্রহ করে।

ত্রুটিটি কাজে লাগানো: ডিএলএল হাইজ্যাকিং কৌশল

২০২৪ সালের গোড়ার দিকে ToddyCat-সম্পর্কিত ঘটনাগুলির তদন্তকারী নিরাপত্তা গবেষকরা একাধিক আপোস করা ডিভাইসের টেম্প ডিরেক্টরিতে একটি সন্দেহজনক DLL ফাইল, 'version.dll' আবিষ্কার করেছিলেন। TCESB নামে চিহ্নিত এই ফাইলটি DLL অনুসন্ধান আদেশ হাইজ্যাকিং ব্যবহার করে স্থাপন করা হয়েছিল, যা আক্রমণকারীদের বৈধ DLL ফাইলগুলি প্রতিস্থাপন করে প্রোগ্রাম সম্পাদন নিয়ন্ত্রণ করতে দেয়।

এই আক্রমণটি ESET এর কমান্ড লাইন স্ক্যানারের একটি ত্রুটির উপর ভিত্তি করে তৈরি করা হয়েছে, যা 'version.dll' ফাইলটি অনিরাপদভাবে লোড করে। সিস্টেম ডিরেক্টরি থেকে বৈধ সংস্করণটি লোড করার পরিবর্তে, এটি প্রথমে বর্তমান ডিরেক্টরিটি পরীক্ষা করে, আক্রমণকারীদের তাদের নিজস্ব ক্ষতিকারক DLL পরিচয় করিয়ে দেওয়ার সুযোগ দেয়।

CVE-2024-11859: শোষিত দুর্বলতা

CVE-2024-11859 (CVSS স্কোর: 6.8) হিসেবে ট্র্যাক করা এই দুর্বলতাটি প্রশাসকের সুবিধাপ্রাপ্ত আক্রমণকারীদের অনিরাপদ কোড কার্যকর করতে সক্ষম করে। তবে, ত্রুটিটি নিজেই উন্নত সুবিধা প্রদান করেনি - আক্রমণকারীদের এটি কাজে লাগানোর জন্য ইতিমধ্যেই প্রশাসকের অ্যাক্সেসের প্রয়োজন ছিল। ESET জানুয়ারী 2025 সালে দুর্বলতাটি সংশোধন করে, উইন্ডোজে তার গ্রাহক, ব্যবসা এবং সার্ভার সুরক্ষা পণ্যগুলির জন্য আপডেট জারি করে।

EDRSandBlast কে অস্ত্র হিসেবে ব্যবহার: TCESB কীভাবে নিরাপত্তা সুরক্ষা অক্ষম করে

TCESB হল ওপেন-সোর্স টুল EDRSandBlast এর একটি পরিবর্তিত সংস্করণ। এটি নোটিফিকেশন রুটিন (কলব্যাক) এর মতো নিরাপত্তা ব্যবস্থা নিষ্ক্রিয় করার জন্য কার্নেল স্ট্রাকচারগুলিকে কাজে লাগায়, যা গুরুত্বপূর্ণ ফাংশন যা সিস্টেম ড্রাইভারদের প্রক্রিয়া তৈরি বা রেজিস্ট্রি পরিবর্তনের মতো গুরুত্বপূর্ণ ঘটনা সম্পর্কে সতর্ক করে।

এটি অর্জনের জন্য, TCESB একটি সুপরিচিত Bring Your Own Vulnerable Driver (BYOVD) কৌশল ব্যবহার করে, ডিভাইস ম্যানেজার ইন্টারফেসের মাধ্যমে একটি vulnerable Dell ড্রাইভার (DBUtilDrv2.sys) ইনস্টল করে। এই ড্রাইভারটি CVE-2021-36276 দ্বারা প্রভাবিত, যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতা।

ডেল ড্রাইভার: একটি পুনরাবৃত্তিমূলক দুর্বল লিঙ্ক

সাইবার আক্রমণে ডেল ড্রাইভারদের নির্যাতনের ঘটনা এটিই প্রথম নয়। ২০২২ সালে, উত্তর কোরিয়ার সাথে সম্পর্কিত ল্যাজারাস গ্রুপ নিরাপত্তা ব্যবস্থা অক্ষম করার জন্য আরেকটি ডেল ড্রাইভার দুর্বলতা (CVE-2021-21551) কাজে লাগিয়েছিল। আক্রমণকারীরা নিরাপত্তা ব্যবস্থা এড়িয়ে যাওয়ার জন্য পুরানো বা দুর্বল ড্রাইভারদের ব্যবহার অব্যাহত রেখেছে।

TCESB এর কার্যকরকরণ কৌশল

একবার দুর্বল ড্রাইভারটি ইনস্টল হয়ে গেলে, TCESB প্রতি দুই সেকেন্ডে ক্রমাগত বর্তমান ডিরেক্টরিতে একটি নির্দিষ্ট নামের পেলোড ফাইলের জন্য পরীক্ষা করে। যদি পেলোডটি প্রাথমিকভাবে উপস্থিত না থাকে, তাহলে TCESB এটি প্রদর্শিত না হওয়া পর্যন্ত অপেক্ষা করে। AES-128 ব্যবহার করে এনক্রিপ্ট করা পেলোডটি তারপর ডিকোড করা হয় এবং কার্যকর করা হয়।

সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা

• এই ধরনের হুমকি মোকাবেলা করার জন্য, নিরাপত্তা দলগুলির উচিত:
• ড্রাইভার ইনস্টলেশন ইভেন্টগুলির জন্য নজর রাখুন, বিশেষ করে দুর্বল ড্রাইভারদের সাথে সম্পর্কিত ইভেন্টগুলির জন্য।
• সন্দেহজনক কার্নেল ডিবাগিং কার্যকলাপের জন্য নজর রাখুন, বিশেষ করে এমন সিস্টেমে যেখানে কার্নেল ডিবাগিং প্রত্যাশিত নয়।
• নিশ্চিত করুন যে সমস্ত নিরাপত্তা সফ্টওয়্যার আপডেট করা হয়েছে, যার মধ্যে পরিচিত দুর্বলতার জন্য প্যাচও রয়েছে।
• আক্রমণকারীদের এই ধরনের দুর্বলতা কাজে লাগাতে বাধা দেওয়ার জন্য প্রশাসকের বিশেষাধিকার সীমিত করুন।

সাইবার হুমকির বাহকরা যখন বিকশিত হচ্ছে, তখন টডিক্যাটের মতো জটিল আক্রমণের বিরুদ্ধে প্রতিরক্ষার জন্য সতর্ক থাকা এবং সক্রিয় নিরাপত্তা ব্যবস্থা বাস্তবায়ন অত্যন্ত গুরুত্বপূর্ণ।