উত্তর কোরিয়া অ্যারোস্পেস অর্গে কমপ্লেক্স ব্যাকডোর মোতায়েন করার জন্য মেটা হিসাবে জাহির করেছে

উত্তর কোরিয়ার রাষ্ট্রীয় পৃষ্ঠপোষকতাকৃত লাজারাস গ্রুপ তার ম্যালওয়্যার অস্ত্রাগারে একটি জটিল এবং এখনও বিকশিত নতুন ব্যাকডোর যুক্ত করেছে বলে মনে হচ্ছে, এটি একটি স্প্যানিশ মহাকাশ কোম্পানির একটি সফল সাইবার সমঝোতায় প্রথম দেখা গেছে।

ESET-এর গবেষকরা যারা ম্যালওয়্যারটি আবিষ্কার করেছেন তারা নতুন হুমকিটিকে "LightlessCan" হিসাবে ট্র্যাক করছেন এবং বিশ্বাস করেন যে এটি হুমকি গোষ্ঠীর ফ্ল্যাগশিপ BlindingCan রিমোট অ্যাক্সেস ট্রোজান (RAT)-এর সোর্স কোডের উপর ভিত্তি করে।

Lazarus হল একটি উত্তর কোরিয়ার রাষ্ট্র-সমর্থিত হুমকি গোষ্ঠী যা মার্কিন সংস্থা এবং এন্টারপ্রাইজ নিরাপত্তা দলগুলি বছরের পর বছর ধরে খুব পরিচিত হয়ে উঠেছে। যেহেতু এটি প্রথম 2014 সালে সনি পিকচার্সে একটি ধ্বংসাত্মক আক্রমণের মাধ্যমে ব্যাপক পরিচিতি লাভ করে, লাজারাস গ্রুপটি বর্তমানে সক্রিয় রয়েছে এমন একটি সবচেয়ে ক্ষতিকর অ্যাডভান্সড পারসিসটেন্ট থ্রেট (APT) গ্রুপ হিসেবে নিজেকে প্রতিষ্ঠিত করেছে। বছরের পর বছর ধরে, এটি ব্যাংক এবং অন্যান্য আর্থিক প্রতিষ্ঠানের উপর হামলার মাধ্যমে মিলিয়ন মিলিয়ন ডলার চুরি করেছে; থেকে সংবেদনশীল তথ্যের বহিষ্কৃত টেরাবাইট প্রতিরক্ষা ঠিকাদার, সরকারী সংস্থা, স্বাস্থ্যসেবা সংস্থা এবং শক্তি সংস্থাগুলি; এবং বহু মৃত্যুদন্ড কার্যকর করেছে ক্রিপ্টোকারেন্সি চুরি এবং সরবরাহ চেইন আক্রমণ.

প্রাথমিক অ্যাক্সেসের জন্য মেটা হিসাবে স্পিয়ার-ফিশিং

স্প্যানিশ এরোস্পেস কোম্পানির উপর হামলার বিষয়ে ESET-এর বিশ্লেষণে দেখা গেছে যে লাজারাস অভিনেতারা কোম্পানির নির্দিষ্ট কর্মচারীদের লক্ষ্য করে একটি সফল বর্শা-ফিশিং প্রচারণার মাধ্যমে প্রাথমিক প্রবেশাধিকার লাভ করেছে। হুমকি অভিনেতা ফেইসবুক প্যারেন্ট মেটার জন্য নিয়োগকারী হিসাবে ছদ্মবেশ ধারণ করেছিলেন এবং লিঙ্কডইন মেসেজিংয়ের মাধ্যমে অ্যারোস্পেস ফার্মের বিকাশকারীদের সাথে যোগাযোগ করেছিলেন।

প্রাথমিক বার্তাটি অনুসরণ করার জন্য প্রতারিত একজন কর্মচারী দুটি কোডিং চ্যালেঞ্জ পেয়েছেন, কথিতভাবে C++ প্রোগ্রামিং ভাষায় কর্মচারীর দক্ষতা পরীক্ষা করার জন্য। বাস্তবে, কোডিং চ্যালেঞ্জগুলি - একটি তৃতীয় পক্ষের ক্লাউড স্টোরেজ প্ল্যাটফর্মে হোস্ট করা হয়েছে - এতে ক্ষতিকারক এক্সিকিউটেবল রয়েছে যা কর্মচারীর সিস্টেমে গোপনে অতিরিক্ত পেলোড ডাউনলোড করে যখন তারা চ্যালেঞ্জটি সমাধান করার চেষ্টা করেছিল।

এই পেলোডগুলির মধ্যে প্রথমটি একটি HTTPS ডাউনলোডার ছিল যেটিকে ESET গবেষকরা NickelLoader বলে ডাকেন৷ টুলটি মূলত লাজারাস গ্রুপের অভিনেতাদের তাদের পছন্দের যেকোনো প্রোগ্রামকে আপস করা সিস্টেমের মেমরিতে স্থাপন করার অনুমতি দেয়। এই ক্ষেত্রে, লাজারাস গ্রুপ দুটি RAT ড্রপ করার জন্য NickelLoader ব্যবহার করেছে — BlindingCan এবং LightlessCan ব্যাকডোরের একটি সীমিত-ফাংশন সংস্করণ। BlindingCan-এর সরলীকৃত সংস্করণের ভূমিকা - যাকে ESET miniBlindingCan নাম দিয়েছে — কম্পিউটারের নাম, উইন্ডোজ সংস্করণ এবং কনফিগারেশন ডেটার মতো সিস্টেম তথ্য সংগ্রহ করা এবং কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে কমান্ড গ্রহণ ও কার্যকর করা। .

ইএসইটি গবেষকের মতে, লাজারাস গোষ্ঠী যে সংস্থাগুলিকে লক্ষ্য করছে তাদের জন্য, লাইটলেস ক্যান একটি উল্লেখযোগ্য নতুন হুমকির প্রতিনিধিত্ব করে পিটার কালনাই একটি ব্লগ পোস্টে লিখেছেন নতুন আবিষ্কৃত ম্যালওয়্যার বিস্তারিত.

ম্যালওয়্যারের ডিজাইন লাজারাস গ্রুপের অভিনেতাদের একটি উপায় দেয় যাতে আপোসকৃত সিস্টেমে দূষিত কার্যকলাপের চিহ্নগুলি উল্লেখযোগ্যভাবে ধারণ করে যার ফলে এটি সনাক্ত করার জন্য রিয়েল-টাইম মনিটরিং নিয়ন্ত্রণ এবং ফরেনসিক সরঞ্জামগুলির ক্ষমতা সীমিত হয়।

রিয়েল-টাইম মনিটরিং এবং ফরেনসিক সরঞ্জামগুলি থেকে একটি র‍্যাট লুকানো

LightlessCan 68টি স্বতন্ত্র কমান্ডের জন্য সমর্থন সংহত করে, যার মধ্যে অনেকগুলি নেটিভ উইন্ডোজ কমান্ডের অনুকরণ করে, যেমন ping, ipconfig, systeminfo, এবং সিস্টেম এবং পরিবেশের তথ্য সংগ্রহের জন্য নেট। এই কমান্ডগুলির মধ্যে মাত্র 43টি এই মুহুর্তে আসলে কার্যকরী - বাকিগুলি এমন প্লেসহোল্ডার যা হুমকি অভিনেতা সম্ভবত পরবর্তী সময়ে কোনও সময়ে সম্পূর্ণরূপে কার্যকরী করবে, পরামর্শ দেয় যে সরঞ্জামটি এখনও বিকাশাধীন রয়েছে। 

"আরএটি এর পিছনের প্রকল্পটি অবশ্যই ব্লাইন্ডিংক্যান সোর্স কোডের উপর ভিত্তি করে, কারণ ভাগ করা কমান্ডের ক্রম উল্লেখযোগ্যভাবে সংরক্ষিত হয়, যদিও তাদের সূচকে পার্থক্য থাকতে পারে," কালনাই ব্লগ পোস্টে ব্যাখ্যা করেছেন।

যাইহোক, লাইটলেস ক্যান বাউন্ডলেস ক্যানের চেয়ে উল্লেখযোগ্যভাবে বেশি উন্নত বলে মনে হচ্ছে। অন্যান্য জিনিসের মধ্যে, নতুন ট্রোজান RAT-এর মধ্যেই নেটিভ উইন্ডোজ কমান্ডগুলি কার্যকর করতে সক্ষম করে। 

কালনাই লিখেছেন, "এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDRs) এবং পোস্টমর্টেম ডিজিটাল ফরেনসিক সরঞ্জামগুলির মতো রিয়েল-টাইম মনিটরিং সমাধানগুলি এড়ানোর ক্ষেত্রে এই পদ্ধতিটি গোপনীয়তার পরিপ্রেক্ষিতে একটি উল্লেখযোগ্য সুবিধা প্রদান করে।"

হুমকি অভিনেতা লাইটলেস ক্যানকে এমনভাবে কারচুপি করেছেন যে এর এনক্রিপ্ট করা পেলোড শুধুমাত্র একটি ডিক্রিপশন কী ব্যবহার করে ডিক্রিপ্ট করা যেতে পারে যা আপস করা মেশিনের জন্য নির্দিষ্ট। লক্ষ্য হল নিশ্চিত করা যে পেলোড ডিক্রিপশন শুধুমাত্র টার্গেট সিস্টেমে সম্ভব এবং অন্য কোন পরিবেশে নয়, কালনাই উল্লেখ করেছেন, যেমন একটি নিরাপত্তা গবেষকের অন্তর্গত একটি সিস্টেম।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace