WINNKIT

WINNKIT হল একটি পরিশীলিত এবং অত্যন্ত এড়িয়ে যাওয়া হুমকি যা চীনা-সমর্থিত APT (Advanced Persistent Threat) গ্রুপ Winnti- এর অস্ত্রাগারের অংশ হিসেবে আবিষ্কৃত হয়েছে। Winnti ম্যালওয়্যার একটি বহু-পর্যায়ের সংক্রমণ শৃঙ্খলে চূড়ান্ত পেলোড হিসাবে কাজ করে যা একটি সাইবার স্পাইনেজ প্রচারে ব্যবহৃত হয় যা বছরের পর বছর ধরে চলতে থাকে। Winnti এছাড়াও APT41, Barium, এবং Blackfly হিসাবে ট্র্যাক করে উত্তর আমেরিকা, ইউরোপ এবং এশিয়া জুড়ে ছড়িয়ে থাকা লক্ষ্যগুলির অভ্যন্তরীণ নেটওয়ার্কগুলিতে অনুপ্রবেশ করতে পরিচালিত৷

হ্যাকাররা শত শত গিগাবাইট গোপনীয় তথ্য পেয়েছে বলে মনে করা হয়, যার মধ্যে রয়েছে মেধা সম্পত্তি এবং মালিকানা সংক্রান্ত তথ্য, ডায়াগ্রাম, ব্লুপ্রিন্ট এবং আরও অনেক কিছু। অপারেশনের সম্পূর্ণ সংক্রমণ শৃঙ্খল সম্পর্কে বিশদ বিবরণ এবং ব্যবহৃত হুমকিমূলক সরঞ্জামগুলি Cybereason দ্বারা প্রকাশিত একটি প্রতিবেদনে প্রকাশিত হয়েছে।

WINNKIT হুমকি রুটকিট ক্ষমতা দিয়ে সজ্জিত ড্রাইভারের রূপ নেয়। এর স্টিলথ এবং সনাক্তকরণ-চঞ্চলন কৌশলগুলির কার্যকারিতার একটি প্রমাণ হল যে WINNKIT কমপক্ষে 3 বছর ধরে সনাক্ত করা যায়নি। ড্রাইভার সিগনেচার এনফোর্সমেন্ট (DSE) মেকানিজমকে বাইপাস করার জন্য Windows Vista 64-বিট এবং পরবর্তীতে চালিত উইন্ডোজ সিস্টেমে, WINNKIT-এ একটি মেয়াদোত্তীর্ণ BenQ ডিজিটাল স্বাক্ষর রয়েছে।

সূচনা হওয়ার পরে, WINNKIT নেটওয়ার্ক যোগাযোগের সাথে যুক্ত হয় এবং হুমকি অভিনেতাদের কাছ থেকে কাস্টম কমান্ডের জন্য অপেক্ষা করে। আগত কমান্ডগুলি পূর্ববর্তী পর্যায়ের ম্যালওয়্যার দ্বারা রুটকিটে রিলে করা হয় যা DEPLOYLOG নামে পরিচিত। একটি প্রতিফলিত লোডিং ইনজেকশন ব্যবহার করে, WINNKIT দূষিত মডিউলগুলিকে বৈধ svchost প্রক্রিয়ায় ইনজেকশন করতে পারে, সনাক্তকরণ এড়াতে। সক্রিয় মডিউল আক্রমণকারীদের বিস্তৃত অনুপ্রবেশকারী ফাংশন প্রদান করে। উদাহরণস্বরূপ, তাদের মধ্যে একটি আপস করা সিস্টেমে দূরবর্তী ডেস্কটপ অ্যাক্সেস সক্ষম করতে পারে। অন্য সিস্টেম কমান্ড লাইন অ্যাক্সেস করতে সক্ষম. ফাইল সিস্টেম ম্যানিপুলেট করার জন্য, ডেটা এক্সফ্লেটিং এবং টার্গেট করা মেশিনে নির্বাচিত প্রক্রিয়াগুলিকে মেরে ফেলার জন্য ডেডিকেটেড মডিউল রয়েছে।