WinDealer

একটি কম পরিচিত চীনা-ভাষী সাইবার অপরাধী গোষ্ঠী আক্রমণ পরিচালনা করছে যা লঙ্ঘন করা ডিভাইসগুলিতে একটি তথ্য চুরিকারী ম্যালওয়্যার স্থাপন করে। LuoYu গ্রুপের হ্যাকাররা বৈধ অ্যাপের আপডেটগুলিকে আটকে দেয় এবং ম্যান-অন-দ্য-সাইড অ্যাটাক হিসাবে পরিচিত দূষিত পেলোডের সাথে তাদের পরিবর্তন করে। সংক্রমণ সফল হওয়ার জন্য, হুমকি অভিনেতারা সক্রিয়ভাবে তাদের নির্বাচিত শিকারদের নেটওয়ার্ক ট্র্যাফিক নিরীক্ষণ করে। যখন QQ, Wanga Wang, বা WeChat-এর মতো এশিয়ান বাজারে জনপ্রিয় সফ্টওয়্যার পণ্যগুলির সাথে সম্পর্কিত একটি অ্যাপ আপডেটের জন্য একটি অনুরোধ পরিলক্ষিত হয়, তখন LuoYu হ্যাকাররা WInDealer ম্যালওয়্যারের জন্য ইনস্টলারদের সাথে তাদের প্রতিস্থাপন করে৷

শিকারের উইন্ডোজ সিস্টেমে মৃত্যুদন্ড কার্যকর করার পরে, WinDealer আক্রমণকারীদের বিস্তৃত অনুপ্রবেশকারী এবং দূষিত ক্রিয়া সম্পাদন করার অনুমতি দেবে। হুমকির প্রাথমিক কার্যকারিতাগুলির মধ্যে একটি হল গোপনীয় এবং সংবেদনশীল ডেটা সংগ্রহ এবং পরবর্তীতে উত্তোলনের সাথে সম্পর্কিত। যাইহোক, হ্যাকাররা ডিভাইসে তাদের অধ্যবসায়ের গ্যারান্টি দেওয়ার জন্য আরও বিশেষ ব্যাকডোর হুমকি ইনস্টল করার জন্য WinDealer-এর উপর নির্ভর করতে পারে। WinDealer ফাইল সিস্টেম ম্যানিপুলেট করতে পারে, একই নেটওয়ার্কের সাথে সংযুক্ত অতিরিক্ত ডিভাইসের জন্য স্ক্যান করতে পারে, অথবা ইচ্ছামত কমান্ড চালাতে পারে।

হুমকির একটি অদ্ভুত বৈশিষ্ট্য হল যেভাবে এটি তার কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে যোগাযোগ করে। একটি হার্ড-কোডেড C2 সার্ভার ব্যবহার করার পরিবর্তে, LuoYu সাইবার অপরাধীরা Xizang এবং Guizhou চীনা প্রদেশ থেকে 48,000 আইপি ঠিকানার একটি পুল তৈরি করেছে৷ হুমকিটি সেই পুলের মধ্যে থেকে একটি এলোমেলো ChinaNET (AS4134) IP ঠিকানার সাথে সংযুক্ত হবে। ক্যাসপারস্কির সাইবারসিকিউরিটি গবেষকরা যারা LuoYu এবং WinDealer সম্পর্কে বিশদ প্রকাশ করেছেন তারা বিশ্বাস করেন যে হ্যাকাররা AS4134-এর অভ্যন্তরে সমঝোতা রাউটারগুলিতে অ্যাক্সেস থাকার জন্য বা ISP-স্তরের আইন প্রয়োগকারী সরঞ্জামগুলি ব্যবহার করে এমন একটি কৌশল ব্যবহার করতে সক্ষম। আরেকটি সম্ভাবনা হল হুমকি অভিনেতাদের অভ্যন্তরীণ পদ্ধতি রয়েছে যা এখনও সাধারণ মানুষের কাছে অজানা।