একটি বছরব্যাপী সাইবার গুপ্তচরবৃত্তি উন্মোচন করা: টার্গেটেড আইটি ফার্মে কাস্টম ম্যালওয়্যার RDStealer-এর চমকপ্রদ প্রকাশ

পূর্ব এশিয়ার একটি আইটি ফার্মকে লক্ষ্য করে একটি ব্যাপক এবং সূক্ষ্মভাবে পরিকল্পিত সাইবার হামলার ঘটনা ঘটেছে, হুমকি অভিনেতাদের দ্বারা নিযুক্ত জটিল কৌশলের উপর আলোকপাত করেছে। এই দীর্ঘমেয়াদী অপারেশন, এক বছরেরও বেশি সময় ধরে, গোল্যাং প্রোগ্রামিং ভাষা ব্যবহার করে তৈরি একটি অত্যাধুনিক ম্যালওয়্যার বৈকল্পিক, RDStealer মোতায়েন করে সাজানো হয়েছিল। Bitdefender গবেষক ভিক্টর Vrabie দ্বারা একটি প্রযুক্তিগত প্রতিবেদনে উপস্থাপিত বিশদ ফলাফলগুলি প্রকাশ করে যে আক্রমণের প্রাথমিক উদ্দেশ্য ছিল মূল্যবান শংসাপত্রের সাথে আপস করা এবং ডেটা এক্সফিল্টেশন চালানো।

রোমানিয়ান সাইবারসিকিউরিটি ফার্ম দ্বারা সংগৃহীত বিস্তৃত প্রমাণগুলি 2022 সালের প্রথম দিকে প্রচারণার সূচনাকে নির্দেশ করে, যার নির্দিষ্ট লক্ষ্য পূর্ব এশিয়ার একটি অপ্রকাশিত আইটি কোম্পানি। এই উদ্ঘাটনটি আজকের আন্তঃসংযুক্ত বিশ্বে সাইবার হুমকির বিকাশমান পরিশীলিততা এবং অধ্যবসায়ের একটি প্রখর অনুস্মারক।

অগ্রগতি উন্মোচন

অপারেশনের প্রাথমিক পর্যায়ে, সাধারণ দূরবর্তী অ্যাক্সেস ট্রোজান যেমন AsyncRAT এবং কোবাল্ট স্ট্রাইক একটি সক্রিয় ভূমিকা পালন করেছিল। যাইহোক, 2021 সালের শেষের দিকে বা 2022 সালের প্রথম দিকে আক্রমণের অগ্রগতি হওয়ার সাথে সাথে কাস্টম-ডিজাইন করা ম্যালওয়্যার সনাক্তকরণ এড়াতে পদক্ষেপ নেয়। ব্যাকডোর পেলোডগুলি সঞ্চয় করার জন্য সিস্টেম32 এবং প্রোগ্রাম ফাইলগুলির মতো সুরক্ষা স্ক্যান থেকে অব্যাহতিপ্রাপ্ত মাইক্রোসফ্ট উইন্ডোজ ফোল্ডারগুলিকে ব্যবহার করা একটি উল্লেখযোগ্য কৌশল জড়িত। এই পদ্ধতির লক্ষ্য নিরাপত্তা সফ্টওয়্যারের সীমাবদ্ধতাকে কাজে লাগানো এবং আক্রমণের কার্যকারিতা বাড়ানো।

একটি নির্দিষ্ট সাব-ফোল্ডার যা আক্রমণে গুরুত্বপূর্ণ ভূমিকা পালন করেছে তা হল "C:\Program Files\Dell\CommandUpdate," যা ডেল কমান্ডের অবস্থান হিসাবে কাজ করে | আপডেট, একটি বৈধ ডেল অ্যাপ্লিকেশন। মজার বিষয় হল, সমস্ত ঘটনা জুড়ে আপোষকৃত মেশিনগুলি ডেল-তৈরি ছিল, যা হুমকি অভিনেতাদের দ্বারা তাদের দূষিত কার্যকলাপের জন্য একটি ছদ্মবেশ হিসাবে এই ফোল্ডারটিকে ব্যবহার করার জন্য একটি ইচ্ছাকৃত পছন্দ নির্দেশ করে। এই পর্যবেক্ষণকে আরও শক্তিশালী করা হয়েছে যে আক্রমণকারীরা "dell-a[.]ntp-update[.]com" এর মতো কমান্ড-এন্ড-কন্ট্রোল (C2) ডোমেন নিবন্ধিত করেছে, যা লক্ষ্য পরিবেশে নির্বিঘ্নে মিশে যাওয়ার জন্য কৌশলগতভাবে ডিজাইন করা হয়েছে।

অনুপ্রবেশ ক্যাম্পেইন RDStealer নামে পরিচিত একটি সার্ভার-সাইড ব্যাকডোর ব্যবহার করে, যা সংক্রামিত হোস্টে ক্লিপবোর্ড এবং কীস্ট্রোক থেকে ক্রমাগত ডেটা সংগ্রহ করতে পারদর্শী। এই আচরণ হুমকি অভিনেতাদের গোপনীয়ভাবে সংবেদনশীল তথ্য সংগ্রহ করতে দেয়।

স্বাতন্ত্র্যসূচক বৈশিষ্ট্য

যা এই আক্রমণটিকে আলাদা করে তা হল ইনকামিং রিমোট ডেস্কটপ প্রোটোকল (RDP) সংযোগগুলি নিরীক্ষণ করার এবং ক্লায়েন্ট ড্রাইভ ম্যাপিং সক্ষম থাকলে একটি দূরবর্তী মেশিনকে কাজে লাগানোর ক্ষমতা। একবার একটি নতুন RDP ক্লায়েন্ট সংযোগ সনাক্ত করা হলে, RDStealer mRemoteNG, KeePass এবং Google Chrome এর মতো অ্যাপ্লিকেশনগুলি থেকে ব্রাউজিং ইতিহাস, শংসাপত্র এবং ব্যক্তিগত কী সহ সংবেদনশীল তথ্য বের করার জন্য একটি কমান্ড জারি করে৷ এটি জোর দেয় যে হুমকি অভিনেতা সক্রিয়ভাবে শংসাপত্রগুলিকে লক্ষ্য করে এবং অন্যান্য সিস্টেমের সাথে সংযোগ সংরক্ষণ করে, যেমন বিটডিফেন্ডারের একজন গবেষক মারিন জুগেক একটি পৃথক বিশ্লেষণে হাইলাইট করেছেন। অতিরিক্তভাবে, আরডিপি ক্লায়েন্টরা আপোস করা মেশিনের সাথে সংযোগকারী অন্য একটি কাস্টম গোলং-ভিত্তিক ম্যালওয়্যার লগুটিলকে ধরে।

Logutil শিকার নেটওয়ার্কের মধ্যে অধ্যবসায় স্থাপন এবং কমান্ড কার্যকর করার সুবিধার্থে DLL সাইড-লোডিং কৌশল নিয়োগ করে। হুমকি অভিনেতা সম্পর্কে সীমিত তথ্য পাওয়া যায়, তাদের 2020 সালের ক্রিয়াকলাপ ব্যতীত। Zugec সাইবার অপরাধীদের ক্রমাগত উদ্ভাবন এবং বিকশিত পরিশীলিততার উপর মন্তব্য করে, যারা তাদের দূষিত কার্যকলাপ চালানোর জন্য নতুন এবং প্রতিষ্ঠিত প্রযুক্তি ব্যবহার করে। এই আক্রমণটি আধুনিক সাইবার হুমকির ক্রমবর্ধমান জটিলতা এবং ব্যাপকভাবে গৃহীত প্রযুক্তিগুলিকে কাজে লাগাতে হুমকি অভিনেতাদের ক্ষমতার প্রমাণ হিসাবে কাজ করে।

একটি বছরব্যাপী সাইবার গুপ্তচরবৃত্তি উন্মোচন করা: টার্গেটেড আইটি ফার্মে কাস্টম ম্যালওয়্যার RDStealer-এর চমকপ্রদ প্রকাশ স্ক্রিনশট