গবেষকরা বিপজ্জনক ব্যাটলোডার ম্যালওয়্যার ড্রপার প্লেটোব্লকচেন ডেটা ইন্টেলিজেন্সের উপর অ্যালার্ম সাউন্ড করেন। উল্লম্ব অনুসন্ধান. আ.

গবেষকরা বিপজ্জনক ব্যাটলোডার ম্যালওয়্যার ড্রপারে অ্যালার্ম সাউন্ড করেন

সময় স্ট্যাম্প: নভেম্বর 14, 2022 4:45 অপরাহ্ন

একটি বিপজ্জনক নতুন ম্যালওয়্যার লোডার যা বিজনেস সিস্টেমে নাকি ব্যক্তিগত কম্পিউটারে তা নির্ধারণ করার বৈশিষ্ট্য সহ গত কয়েক মাস ধরে বিশ্বব্যাপী সিস্টেমগুলিকে দ্রুত সংক্রমিত করতে শুরু করেছে৷

ভিএমওয়্যার কার্বন ব্ল্যাকের গবেষকরা ব্যাটলোডার নামে ডাকা এই হুমকিটি ট্র্যাক করছেন এবং বলছেন যে এর অপারেটররা ব্যাঙ্কিং ট্রোজান, তথ্য চুরিকারী এবং কোবল্ট স্ট্রাইক পোস্ট-শোষণ টুলকিট সহ বিভিন্ন ধরনের ম্যালওয়্যার সরঞ্জাম বিতরণ করতে ড্রপার ব্যবহার করছে। হুমকি অভিনেতার কৌশল হল আপোসকৃত ওয়েবসাইটে ম্যালওয়্যার হোস্ট করা এবং সার্চ ইঞ্জিন অপ্টিমাইজেশান (SEO) বিষাক্ত পদ্ধতি ব্যবহার করে ব্যবহারকারীদের সেই সাইটগুলিতে প্রলুব্ধ করা।

লিভিং অফ দ্য ল্যান্ড

ব্যাটলোডার ব্যাচ এবং পাওয়ারশেল স্ক্রিপ্টের উপর খুব বেশি নির্ভর করে একটি ভিকটিম মেশিনে একটি প্রাথমিক পদার্পণ পেতে এবং এতে অন্যান্য ম্যালওয়্যার ডাউনলোড করতে। এটি প্রচারণা করেছে সনাক্ত করা এবং ব্লক করা কঠিন, বিশেষ করে প্রাথমিক পর্যায়ে, VMware কার্বন ব্ল্যাকের পরিচালিত সনাক্তকরণ এবং প্রতিক্রিয়া (MDR) দলের বিশ্লেষকরা 14 নভেম্বর প্রকাশিত একটি প্রতিবেদনে বলেছেন৷

ভিএমওয়্যার বলেছে যে তার কার্বন ব্ল্যাক এমডিআর টিম গত 43 দিনে 90টি সফল সংক্রমণ পর্যবেক্ষণ করেছে, অন্যান্য অসংখ্য অসফল প্রচেষ্টা ছাড়াও যেখানে একজন শিকার প্রাথমিক সংক্রমণ ফাইলটি ডাউনলোড করেছে কিন্তু এটি কার্যকর করেনি। ক্ষতিগ্রস্থদের মধ্যে নয়টি ব্যবসায়িক পরিষেবা খাতের সংস্থা, সাতটি আর্থিক পরিষেবা সংস্থা এবং পাঁচটি উত্পাদনে ছিল। অন্যান্য ক্ষতিগ্রস্থদের মধ্যে শিক্ষা, খুচরা, তথ্যপ্রযুক্তি এবং স্বাস্থ্যসেবা খাতের সংস্থাগুলি অন্তর্ভুক্ত ছিল।

9 নভেম্বর, eSentire বলেছে যে তার হুমকি-শিকারকারী দল BatLoader-এর অপারেটরকে দেখেছে যে তারা LogMeIn, Zoom, TeamViewer, এবং AnyDesk-এর মতো জনপ্রিয় ব্যবসায়িক সফ্টওয়্যারগুলির ডাউনলোড পৃষ্ঠাগুলির জন্য মুখোশধারী ওয়েবসাইটগুলিতে শিকারদের প্রলুব্ধ করছে৷ হুমকি অভিনেতা এই ওয়েবসাইটের লিঙ্ক বিতরণ করেন সার্চ ইঞ্জিন ফলাফলে বিশিষ্টভাবে প্রদর্শিত বিজ্ঞাপনের মাধ্যমে যখন ব্যবহারকারীরা এই সফ্টওয়্যার পণ্যগুলির জন্য অনুসন্ধান করে।

নিরাপত্তা বিক্রেতা বলেছেন যে অক্টোবরের শেষের দিকের এক ঘটনায়, একজন eSentire গ্রাহক একটি নকল LogMeIn ডাউনলোড পৃষ্ঠায় এসেছিলেন এবং একটি উইন্ডোজ ইনস্টলার ডাউনলোড করেছিলেন যা অন্যান্য জিনিসগুলির মধ্যে, সিস্টেমটিকে প্রোফাইল করে এবং দ্বিতীয়-পর্যায়ের পেলোড পুনরুদ্ধার করতে তথ্য ব্যবহার করে।

"ব্যাটলোডারকে যেটি আকর্ষণীয় করে তোলে তা হল এটির মধ্যে এমন যুক্তি রয়েছে যা নির্ণয় করে যে শিকার কম্পিউটারটি একটি ব্যক্তিগত কম্পিউটার নাকি একটি কর্পোরেট কম্পিউটার," কিগান কেপলিংগার বলেছেন, eSentire-এর TRU গবেষণা দলের গবেষণা এবং রিপোর্টিং লিড৷ "এটি তারপর পরিস্থিতির জন্য উপযুক্ত ম্যালওয়্যারের ধরন ড্রপ করে।"

নির্বাচনী পেলোড ডেলিভারি

উদাহরণস্বরূপ, যদি ব্যাটলোডার একটি ব্যক্তিগত কম্পিউটারে আঘাত করে, এটি Ursnif ব্যাঙ্কিং ম্যালওয়্যার এবং Vidar তথ্য চুরিকারী ডাউনলোড করে। যদি এটি একটি ডোমেন-যুক্ত বা কর্পোরেট কম্পিউটারে আঘাত করে তবে এটি ব্যাঙ্কিং ট্রোজান এবং তথ্য চুরির পাশাপাশি কোবাল্ট স্ট্রাইক এবং সিনক্রো রিমোট মনিটরিং এবং ম্যানেজমেন্ট টুল ডাউনলোড করে।

"যদি ব্যাটলোডার একটি ব্যক্তিগত কম্পিউটারে অবতরণ করে, তবে এটি জালিয়াতি, ইনফোস্টিলিং এবং উরসনিফের মতো ব্যাংকিং-ভিত্তিক পেলোডের সাথে এগিয়ে যাবে," কিগান বলেছেন। "যদি ব্যাটলোডার সনাক্ত করে যে এটি একটি সাংগঠনিক পরিবেশে আছে, এটি কোবল্ট স্ট্রাইক এবং সিনক্রোর মতো অনুপ্রবেশের সরঞ্জামগুলির সাথে এগিয়ে যাবে।"

কিগান বলেছেন যে ইসেন্টিয়ার ব্যাটলোডারের সাথে জড়িত সাম্প্রতিক সাইবার আক্রমণের "প্রচুর" পর্যবেক্ষণ করেছে। বেশিরভাগ আক্রমণ সুবিধাবাদী এবং বিশ্বস্ত এবং জনপ্রিয় বিনামূল্যের সফ্টওয়্যার সরঞ্জাম খুঁজছেন এমন কাউকে আঘাত করে। 

"সংস্থার সামনে যাওয়ার জন্য, ব্যাটলোডার বিষাক্ত বিজ্ঞাপনগুলি ব্যবহার করে যাতে কর্মীরা যখন LogMeIn এবং Zoom-এর মতো বিশ্বস্ত বিনামূল্যের সফ্টওয়্যার খোঁজেন, তখন তারা আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত সাইটগুলিতে অবতরণ করে, ব্যাটলোডার সরবরাহ করে।"

Conti, ZLoader এর সাথে ওভারল্যাপ

ভিএমওয়্যার কার্বন ব্ল্যাক বলেছে যে ব্যাটলোডার প্রচারণার বেশ কয়েকটি দিক অনন্য, তবে আক্রমণ শৃঙ্খলের বেশ কয়েকটি বৈশিষ্ট্যও রয়েছে যার সাথে সাদৃশ্য রয়েছে কনটি র্যানসমওয়্যার অপারেশন

ওভারল্যাপগুলির মধ্যে একটি আইপি ঠিকানা রয়েছে যা কন্টি গ্রুপ Log4j দুর্বলতাকে কাজে লাগাতে প্রচারে ব্যবহার করেছিল এবং Atera নামক একটি দূরবর্তী ব্যবস্থাপনা টুলের ব্যবহার যা কন্টি পূর্ববর্তী অপারেশনগুলিতে ব্যবহার করেছিল। 

কন্টির সাথে মিল ছাড়াও, ব্যাটলোডারের সাথে বেশ কয়েকটি ওভারল্যাপ রয়েছে Zloader, একটি ব্যাংকিং ট্রোজান যেটি 2000 এর দশকের গোড়ার দিকে জিউস ব্যাঙ্কিং ট্রোজান থেকে উদ্ভূত বলে মনে হচ্ছে, নিরাপত্তা বিক্রেতা বলেছেন। সেখানকার সবচেয়ে বড় মিলগুলোর মধ্যে রয়েছে এসইও বিষের ব্যবহার যাতে ভিকটিমদের ম্যালওয়্যার-ভর্তি ওয়েবসাইটগুলিতে প্রলুব্ধ করা যায়, একটি প্রাথমিক পদার্পণ স্থাপনের জন্য উইন্ডোজ ইন্সটলারের ব্যবহার এবং অ্যাটাক চেইনের সময় পাওয়ারশেল, ব্যাচ স্ক্রিপ্ট এবং অন্যান্য নেটিভ ওএস বাইনারি ব্যবহার করা।

ম্যান্ডিয়েন্ট ব্যাটলোডারে প্রথম রিপোর্ট করেছিল। ফেব্রুয়ারিতে একটি ব্লগ পোস্টে, নিরাপত্তা বিক্রেতা একটি হুমকি অভিনেতাকে "ফ্রি প্রোডাক্টিভিটি অ্যাপস ইন্সটলেশন" এবং "ফ্রি সফ্টওয়্যার ডেভেলপমেন্ট টুলস ইন্সটলেশন" থিম ব্যবহার করে এসইও কীওয়ার্ড হিসেবে ব্যবহারকারীদের সাইট ডাউনলোড করতে প্রলুব্ধ করার কথা জানিয়েছেন। 

“এই প্রাথমিক ব্যাটলোডার আপস ছিল একটি বহু-পর্যায়ের সংক্রমণ শৃঙ্খলের শুরু যা আক্রমণকারীদের লক্ষ্য সংস্থার ভিতরে পা রাখার ব্যবস্থা করে,” ম্যান্ডিয়েন্ট বলেন। আক্রমণকারীরা সনাক্তকরণ এড়াতে PowerShell, Msiexec.exe, এবং Mshta.exe-এর মতো সরঞ্জামগুলি ব্যবহার করে আক্রমণ শৃঙ্খলের পরবর্তী ধাপ সেট আপ করতে প্রতিটি পর্যায় ব্যবহার করেছিল।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া