টেসলাগান নামে একটি নতুন আবিষ্কৃত সাইবারট্যাক প্যানেল আবিষ্কৃত হয়েছে, যা সার্ভহেলপার ব্যাকডোর প্রচার চালানোর জন্য ইভিল কর্প ব্যবহার করে।
প্রোড্রাফ্ট থ্রেট ইন্টেলিজেন্স (পিটিআই) টিমের বিশ্লেষণ থেকে প্রাপ্ত ডেটা দেখায় যে ইভিল কর্পোরেশন র্যানসমওয়্যার গ্যাং (ওরফে TA505 বা UNC2165, অর্ধ ডজন অন্যান্য রঙিন ট্র্যাকিং নাম সহ) টেসলাগানকে ব্যাপক ফিশিং প্রচারাভিযান চালাতে এবং আরও অনেকের বিরুদ্ধে লক্ষ্যযুক্ত প্রচারণা চালাতে ব্যবহার করেছে। 8,000 এরও বেশি বিভিন্ন সংস্থা এবং ব্যক্তি। বেশিরভাগ লক্ষ্যমাত্রা মার্কিন যুক্তরাষ্ট্রে ছিল, যেখানে 3,600 জনের বেশি ক্ষতিগ্রস্ত হয়েছে, এর বাইরে বিক্ষিপ্ত আন্তর্জাতিক বিতরণের সাথে।
ServHelper ব্যাকডোর ম্যালওয়্যারের ক্রমাগত সম্প্রসারণ হয়েছে, একটি দীর্ঘ-চলমান এবং ক্রমাগত আপডেট করা প্যাকেজ যা কমপক্ষে 2019 সাল থেকে শুরু হয়েছে। এটি 2021 সালের দ্বিতীয়ার্ধে আবারও বাষ্প নিতে শুরু করেছে, একটি অনুসারে Cisco Talos থেকে রিপোর্ট, জাল ইনস্টলার এবং সংশ্লিষ্ট ইনস্টলার ম্যালওয়্যারের মতো প্রক্রিয়া দ্বারা অনুপ্রাণিত হয় যেমন Raccoon এবং Amadey.
সম্প্রতি, Trellix থেকে হুমকি বুদ্ধিমত্তা গত মাসে রিপোর্ট করেছে যে ServHelper ব্যাকডোর সম্প্রতি সিস্টেমে লুকানো ক্রিপ্টোমাইনার ড্রপ করতে দেখা গেছে।
পিটিআই রিপোর্ট, মঙ্গলবার জারি করা, TeslaGun-এর পিছনের প্রযুক্তিগত বৈশিষ্ট্যগুলি নিয়ে আলোচনা করে, এবং কিছু বিশদ বিবরণ এবং টিপস অফার করে যা এন্টারপ্রাইজগুলিকে আজ প্রচলিত কিছু ব্যাকডোর সাইবারট্যাকের প্রবণতাগুলির জন্য গুরুত্বপূর্ণ পাল্টা ব্যবস্থা নিয়ে এগিয়ে যেতে সাহায্য করতে পারে৷
ব্যাকডোর অ্যাটাক যা প্রমাণীকরণ প্রক্রিয়াকে বাধাগ্রস্ত করে এবং এন্টারপ্রাইজ সিস্টেমে শান্তভাবে অধ্যবসায় স্থাপন করে যা সাইবার নিরাপত্তা রক্ষাকারীদের জন্য সবচেয়ে বিরক্তিকর। কারণ এই আক্রমণগুলি মানক নিরাপত্তা নিয়ন্ত্রণের মাধ্যমে সনাক্ত করা বা প্রতিরোধ করা কুখ্যাতভাবে কঠিন।
ব্যাকডোর অ্যাটাকাররা তাদের অ্যাটাক অ্যাসেটে বৈচিত্র্য আনে
পিটিআই গবেষকরা বলেছেন যে তারা তাদের তদন্তের সময় বিভিন্ন শিকারের প্রোফাইল এবং প্রচারাভিযানের একটি বিস্তৃত পরিসর পর্যবেক্ষণ করেছেন, পূর্ববর্তী গবেষণাকে সমর্থন করে যা দেখায় যে সার্ভহেলপার আক্রমণগুলি বিভিন্ন যুগপত প্রচারাভিযানে শিকারদের জন্য ট্রল করছে। এটি সুবিধাবাদী হিটগুলির জন্য একটি বিস্তৃত জাল কাস্ট করার একটি ট্রেডমার্ক আক্রমণের ধরণ৷
"টেসলাগান কন্ট্রোল প্যানেলের একটি একক উদাহরণে একাধিক প্রচারাভিযানের রেকর্ড রয়েছে যা বিভিন্ন ডেলিভারি পদ্ধতি এবং আক্রমণের ডেটা উপস্থাপন করে," প্রতিবেদনে ব্যাখ্যা করা হয়েছে। "ম্যালওয়ারের নতুন সংস্করণগুলি এই বিভিন্ন প্রচারাভিযানকে প্রচারাভিযান আইডি হিসাবে এনকোড করে।"
কিন্তু সাইবার আক্রমণকারীরা সক্রিয়ভাবে ভিকটিমদের প্রোফাইল করবে
একই সময়ে, টেসলাগানে প্রচুর প্রমাণ রয়েছে যে আক্রমণকারীরা শিকারদের প্রোফাইল করছে, কিছু পয়েন্টে প্রচুর নোট নিচ্ছে এবং লক্ষ্যবস্তু ব্যাকডোর আক্রমণ পরিচালনা করছে।
“পিটিআই দল পর্যবেক্ষণ করেছে যে টেসলাগান প্যানেলের প্রধান ড্যাশবোর্ডে শিকারের রেকর্ডের সাথে সংযুক্ত মন্তব্য রয়েছে। এই রেকর্ডগুলি সিপিইউ, জিপিইউ, র্যাম সাইজ এবং ইন্টারনেট সংযোগের গতির মতো ভিকটিম ডিভাইসের ডেটা দেখায়,” রিপোর্টে বলা হয়েছে, এটি ব্যাখ্যা করে ক্রিপ্টোমিনিং সুযোগের লক্ষ্যমাত্রা নির্দেশ করে। "অন্যদিকে, শিকারের মন্তব্য অনুসারে, এটা স্পষ্ট যে TA505 সক্রিয়ভাবে অনলাইন ব্যাংকিং বা খুচরা ব্যবহারকারীদের সন্ধান করছে, যার মধ্যে ক্রিপ্টো-ওয়ালেট এবং ই-কমার্স অ্যাকাউন্ট রয়েছে।"
প্রতিবেদনে বলা হয়েছে যে বেশিরভাগ ভুক্তভোগী আর্থিক খাতে কাজ করছেন বলে মনে হচ্ছে কিন্তু এই লক্ষ্যমাত্রা একচেটিয়া নয়।
রিসেল হল ব্যাকডোর মনিটাইজেশনের একটি গুরুত্বপূর্ণ অংশ
কন্ট্রোল প্যানেলের ব্যবহারকারীর বিকল্পগুলি যেভাবে সেট আপ করা হয়েছে তা গবেষকদের গ্রুপের "ওয়ার্কফ্লো এবং বাণিজ্যিক কৌশল" সম্পর্কে অনেক তথ্য দেয়, প্রতিবেদনে বলা হয়েছে। উদাহরণ স্বরূপ, কিছু ফিল্টারিং অপশনকে "বিক্রয়" এবং "বিক্রয় 2" লেবেল করা হয়েছে এই গোষ্ঠীর শিকারদের সাথে প্যানেলের মাধ্যমে অস্থায়ীভাবে রিমোট ডেস্কটপ প্রোটোকল (RDP) অক্ষম করা হয়েছে৷
"এর সম্ভবত অর্থ হল যে TA505 অবিলম্বে সেই বিশেষ শিকারদের শোষণ থেকে মুনাফা অর্জন করতে পারে না," রিপোর্ট অনুসারে। "তাদের ছেড়ে দেওয়ার পরিবর্তে, গ্রুপটি সেই শিকারের আরডিপি সংযোগগুলিকে অন্যান্য সাইবার অপরাধীদের কাছে পুনরায় বিক্রয়ের জন্য ট্যাগ করেছে।"
পিটিআই রিপোর্টে বলা হয়েছে যে গবেষকদের পর্যবেক্ষণের উপর ভিত্তি করে, গ্রুপের অভ্যন্তরীণ কাঠামো "আশ্চর্যজনকভাবে অসংগঠিত" ছিল কিন্তু এর সদস্যরা এখনও "সাবধানে তাদের শিকারদের নিরীক্ষণ করে এবং উল্লেখযোগ্য ধৈর্য প্রদর্শন করতে পারে, বিশেষ করে আর্থিক খাতে উচ্চ-মূল্যের শিকারদের সাথে।"
বিশ্লেষণে আরও উল্লেখ করা হয়েছে যে গ্রুপের শক্তি হল এর তত্পরতা, যা সময়ের সাথে সাথে কার্যকলাপের পূর্বাভাস দেওয়া এবং সনাক্ত করা কঠিন করে তোলে।
তবুও, ব্যাকডোর আক্রমণকারীরা নিখুঁত নয়, এবং এটি সাইবারসিকিউরিটি পেশাদারদের জন্য তাদের প্রচেষ্টাকে ব্যর্থ করার জন্য কিছু সূত্র দিতে পারে।
“যদিও দলটি কিছু টেলটেল দুর্বলতা প্রদর্শন করে। যদিও TA505 কয়েক মাস ধরে ভিকটিমদের ডিভাইসে লুকানো সংযোগ বজায় রাখতে পারে, এর সদস্যরা প্রায়শই অস্বাভাবিকভাবে কোলাহলপূর্ণ হয়,” রিপোর্টে বলা হয়েছে। "ServHelper ইনস্টল করার পরে, TA505 হুমকি অভিনেতারা ম্যানুয়ালি RDP টানেলিং এর মাধ্যমে শিকার ডিভাইসের সাথে সংযোগ করতে পারে৷ এই সুড়ঙ্গগুলি সনাক্ত করতে সক্ষম সুরক্ষা প্রযুক্তিগুলি TA505 এর পিছনের দরজা আক্রমণগুলি ধরা এবং প্রশমিত করার জন্য গুরুত্বপূর্ণ প্রমাণিত হতে পারে।"
রাশিয়ান-সংযুক্ত (এবং অনুমোদনপ্রাপ্ত) ইভিল কর্পোরেশন গত পাঁচ বছরের সবচেয়ে প্রসারিত গ্রুপগুলির মধ্যে একটি। অনুযায়ী মার্কিন সরকার, গ্রুপটি আর্থিক ট্রোজান ড্রাইডেক্সের পিছনে মস্তিষ্কের বিশ্বাস এবং WastedLocker এর মত ransomware ভেরিয়েন্ট ব্যবহার করে প্রচারাভিযানের সাথে যুক্ত। এটি তার অস্ত্রাগারের জন্য অস্ত্রের একটি ভেলা তৈরি করে চলেছে; গত সপ্তাহে, এটি আলোকিত হয়েছে যে এটি এর সাথে যুক্ত রাস্পবেরি রবিন সংক্রমণ.
PTI হুমকি ট্র্যাক করতে TA505 ব্যবহার করে, এবং ঐক্যমত্য দৃঢ় কিন্তু সর্বজনীন নয় যে TA505 এবং Evil Corp একই গ্রুপ। গত মাসের একটি প্রতিবেদন থেকে স্বাস্থ্য সেক্টর সাইবার নিরাপত্তা সমন্বয় কেন্দ্র (HC3) বলেছেন যে এটি "বর্তমানে সেই উপসংহার সমর্থন করে না।"
