ওয়াইল্ড প্রেসার এপিটি

2019 সালে, মধ্যপ্রাচ্যে শিল্প-সম্পর্কিত লক্ষ্যগুলির বিরুদ্ধে একটি সম্পূর্ণরূপে উন্নত ট্রোজান হুমকি মোতায়েন করা একটি হুমকিমূলক প্রচারণা এই অঞ্চলে ইতিমধ্যে প্রতিষ্ঠিত হুমকি অভিনেতাদের TTPs (কৌশল, কৌশল এবং পদ্ধতি) এর সাথে মেলেনি। ফলস্বরূপ, এটি একটি নতুন প্রতিষ্ঠিত ATP (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপের জন্য দায়ী করা হয়েছিল, যার নাম ওয়াইল্ড প্রেসার।

এই প্রাথমিক ক্রিয়াকলাপ থেকে, হ্যাকাররা তাদের ক্ষতিকারক সরঞ্জামগুলির অস্ত্রাগার প্রসারিত এবং উন্নত করার জন্য অনেক প্রচেষ্টা ব্যয় করেছে বলে মনে হচ্ছে। প্রকৃতপক্ষে, ওয়াইল্ডপ্রেশারের লক্ষণ বহনকারী একটি নতুন প্রচারাভিযান এখন অনেকগুলি আগে কখনও দেখা যায়নি এমন ম্যালওয়্যার হুমকি মোতায়েন করছে, যার মধ্যে একটি ম্যাকোস সিস্টেমের সাথে আপস করতে সক্ষম। ভুক্তভোগীরা আবারও মধ্যপ্রাচ্য থেকে এসেছে এবং তাদের তেল ও গ্যাস সেক্টরের সাথে সম্পর্কিত বলে ধারণা করা হচ্ছে।

Wildpressure এর পরিকাঠামোতেও বৈচিত্র্য এনেছে। 2019 অপারেশনটি ভিপিএস (ভার্চুয়াল প্রাইভেট সার্ভার) নিয়ে গঠিত যখন বর্তমান প্রচারাভিযানে বেশ কিছু বৈধ ওয়ার্ডপ্রেস সাইট রয়েছে যা আপস করা হয়েছে। তাদের মধ্যে রয়েছে 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www। glisru[.]eu,' এবং 'hxxp://www.mozh[.]org।'

Milum ট্রোজান

মূল ট্রোজান হুমকি ওয়াইল্ডপ্রেশার দ্বারা বাদ দেওয়া হয়েছিল। এটি C++ এ লেখা এবং এর কনফিগারেশন ডেটার জন্য JSON ফর্ম্যাট ব্যবহার করে। একই বিন্যাসটি কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে যোগাযোগের ক্ষেত্রেও ব্যবহৃত হয়। মিলুমে দেখা একমাত্র এনক্রিপশন হল RC4 কিন্তু হুমকি প্রতিটি শিকারের জন্য আলাদা 64-বাইট কী ব্যবহার করে। আপস করা ডিভাইসে, ট্রোজান একটি অদৃশ্য টুলবার উইন্ডোর রূপ নেয়। এর হুমকিমূলক ক্ষমতাগুলির মধ্যে রয়েছে প্রাপ্ত কমান্ডগুলি কার্যকর করা, সার্ভারে ডেটা আপলোড করা, ফাইল এবং সিস্টেমের বিবরণ পাওয়া, একটি ব্যাচ স্ক্রিপ্ট তৈরি করা এবং কার্যকর করা যা সিস্টেম থেকে মিলুমকে সরিয়ে দেয় এবং হ্যাকারদের দ্বারা একটি নতুন সংস্করণ প্রকাশ করা হলে নিজেকে আপডেট করা।

দ্য গার্ড ট্রোজান

এই ম্যালওয়্যার হুমকিটি পাইথনে লেখা আছে এবং উইন্ডোজ এবং ম্যাকোস উভয় সিস্টেমকে সংক্রমিত করতে পারে। মনে হচ্ছে এটি তৈরি করার সময়, ওয়াইল্ডপ্রেশার হ্যাকাররা ব্যাপকভাবে অনুপ্রাণিত হয়েছিল এবং সর্বজনীনভাবে উপলব্ধ তৃতীয় পক্ষের কোডের উপর নির্ভর করেছিল। সামগ্রিকভাবে হুমকি অন্যান্য ওয়াইল্ডপ্রেশার সরঞ্জামগুলির সাথে বেশ মিল রয়েছে বিশেষত যখন এটি কোডিং শৈলী, এর নকশা এবং C2 যোগাযোগ প্রোটোকলের ক্ষেত্রে আসে। ইনফোসেক গবেষকরা বিশ্বাস করেন যে গার্ড ট্রোজান এখনও সক্রিয় বিকাশের অধীনে রয়েছে।

macOS ডিভাইসে বিশেষভাবে সক্রিয় করা প্রথম ফাংশনগুলির মধ্যে একটি হল ট্রোজানের অন্য একটি উদাহরণ ইতিমধ্যেই চলছে কিনা তা নির্ধারণ করা। অধ্যবসায় প্রক্রিয়া বোধগম্যভাবে ভিন্ন। উইন্ডোজ ডিভাইসে, ট্রোজান একটি RunOnce রেজিস্ট্রি কী সফটওয়্যার\Microsoft\Windows\CurrentVersion\RunOnce\gd_system তৈরি করে। macOS সিস্টেমের জন্য, তবে, গার্ড একটি XML ডকুমেন্ট ডিকোড করে এবং তারপর একটি plist ফাইল তৈরি করে। ম্যালওয়্যারটি তখন $HOME/Library/LaunchAgents/com.apple.pyapple.plist-এ থাকা ফাইলটির বিষয়বস্তু স্বয়ংক্রিয়ভাবে চালানোর জন্য ব্যবহার করে। হুমকিটি OS-এর উপর নির্ভর করে সিস্টেম সম্পর্কে বিশদ বিবরণ পাওয়ার জন্য পৃথক পদ্ধতি ব্যবহার করে। এর ক্ষমতার জন্য, গার্ডকে লঙ্ঘন করা সিস্টেমে অতিরিক্ত ফাইল ডাউনলোড করতে, C2 সার্ভারে আগ্রহের ফাইল আপলোড করতে, কমান্ড কার্যকর করতে, একটি নতুন সংস্করণ আনতে, বা সিস্টেম থেকে এর চিহ্নগুলি মুছে ফেলার জন্য একটি ক্লিনআপ রুটিন সম্পাদন করতে নির্দেশ দেওয়া যেতে পারে।

Tandis ট্রোজান

Tandis একটি স্ব-ডিক্রিপ্টিং VBScript হুমকি। গার্ড ট্রোজানের তুলনায়, ট্যান্ডিস শুধুমাত্র উইন্ডোজ সিস্টেমকে টার্গেট করে এবং WQL প্রশ্নের উপর অনেক বেশি নির্ভর করে। যাইহোক, অন্যথায়, এর কার্যকারিতা মূলত গার্ড এবং অন্যান্য ওয়াইল্ড প্রেসার হুমকির সাথে সামঞ্জস্যপূর্ণ। এটি সিস্টেম রেজিস্ট্রিগুলির মাধ্যমে অধ্যবসায় অর্জন করে এবং গোপনে কমান্ডগুলি কার্যকর করতে, সিস্টেমে অতিরিক্ত পেলোড ড্রপ করতে, নিজের আপডেট করা নির্বাচিত ফাইলগুলি আপলোড করতে, একটি ক্লিনআপ রুটিন চালাতে এবং হোস্টকে আঙ্গুলের ছাপ দিতে সক্ষম। আরও নির্দিষ্টভাবে, ট্যান্ডিস ডিফেন্ডার ব্যতীত সমস্ত ইনস্টল করা সুরক্ষা পণ্যের সন্ধান করে।

ক্ষতিকারক C++ প্লাগইন

C++ এ লেখা বেশ কিছু সরল আন্তঃসংযুক্ত মডিউলও আবিষ্কৃত হয়েছে। তারা একটি অর্কেস্ট্রেটর এবং নির্দিষ্ট কাজ সম্পাদনকারী বেশ কয়েকটি প্লাগইন নিয়ে গঠিত। প্রধান মডিউল (অর্কেস্ট্রেটর) চেক করে যে 'thumbnail.dat' নামের একটি কনফিগারেশন ফাইল লঙ্ঘিত ডিভাইসে উপস্থিত আছে কিনা। এই ফাইলের সঠিক অবস্থান Windows OS এর সংস্করণের উপর নির্ভর করে পরিবর্তিত হয়। অর্কেস্ট্রেটর প্রতি দুই মিনিটে রান করে এবং একটি নির্দিষ্ট প্লাগইন চালানোর জন্য প্রয়োজনীয় তথ্যের জন্য কনফিগারেশন ফাইলটি স্ক্যান করে।

দূষিত প্লাগইনগুলি DLL এর রূপ নেয়। আবিষ্কৃত প্লাগইনগুলির মধ্যে একটি WQL প্রশ্নের মাধ্যমে সিস্টেম সম্পর্কে অত্যন্ত বিস্তারিত তথ্য পেতে সক্ষম। সংগৃহীত ডেটার মধ্যে রয়েছে OS সংস্করণ, ইনস্টল করা OS হটফিক্স, BIOS এবং HDD নির্মাতারা, সমস্ত ইনস্টল করা এবং বর্তমানে চলমান সফ্টওয়্যার পণ্য, ইনস্টল করা এবং চলমান নিরাপত্তা পণ্য, ব্যবহারকারীর অ্যাকাউন্ট, নেটওয়ার্ক অ্যাডাপ্টার সেটিংস এবং আরও অনেক কিছু। দুটি অতিরিক্ত প্লাগইনকে কীলগিং রুটিন স্থাপনের দায়িত্ব দেওয়া হয়েছে। প্রথমটি একটি WH_KEYBOARD_LL হুক সেট করে এবং তারপরে কীস্ট্রোক ক্যাপচার করতে পারে সেইসাথে ক্লিপবোর্ড বিষয়বস্তু এবং উইন্ডোজ শিরোনাম আটকাতে পারে। অন্য প্লাগইনটি একটি WH_MOUSE_LL হুক সেট করে টাইমার এবং মাউস ইভেন্টের উপর নির্ভর করে সিস্টেমের স্ক্রিনশট নেওয়ার জন্য দায়ী।