রাশিয়ান গোয়েন্দারা র‍্যাপিড-ফায়ার সাইবার আক্রমণে বিশ্বব্যাপী শিকারদের লক্ষ্য করে

রাশিয়ার রাষ্ট্রীয় হ্যাকাররা চারটি মহাদেশে ছড়িয়ে থাকা অন্তত নয়টি দেশে লক্ষ্যযুক্ত ফিশিং প্রচারণা চালাচ্ছে। তাদের ইমেলগুলি সরকারী সরকারী ব্যবসার প্রতি জোর দেয় এবং সফল হলে, শুধুমাত্র সংবেদনশীল সাংগঠনিক ডেটাই নয়, কৌশলগত গুরুত্বের ভূ-রাজনৈতিক বুদ্ধিমত্তাকেও হুমকি দেয়৷

এই ধরনের একটি পরিশীলিত, বহুমুখী প্লট শুধুমাত্র একটি গোষ্ঠী দ্বারা তৈরি করা যেতে পারে অভিনব ভালুক (ওরফে APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028, এবং আরও অনেক উপনাম এখনও), যা IBM X-Force ITG05 হিসাবে ট্র্যাক করে একটি নতুন রিপোর্ট.

বিশ্বাসযোগ্য সরকার-থিমযুক্ত লোভ এবং কাস্টম ব্যাকডোরগুলির তিনটি নতুন রূপের পাশাপাশি, প্রচারাভিযানটি লক্ষ্য করা তথ্যের জন্য সবচেয়ে বেশি আলাদা: ফ্যান্সি বিয়ার রাশিয়ান সরকারের ব্যবহারের জন্য অত্যন্ত নির্দিষ্ট তথ্যের লক্ষ্যে রয়েছে বলে মনে হচ্ছে।

সরকারী ফিশিং লুরস

অভিনব ভাল্লুক আর্জেন্টিনা, ইউক্রেন, জর্জিয়া, বেলারুশ, কাজাখস্তান, পোল্যান্ড, আর্মেনিয়া, আজারবাইজান এবং মার্কিন যুক্তরাষ্ট্রে সংগঠনগুলিকে লক্ষ্য করে প্রচারাভিযানে অন্তত 11টি অনন্য লোভ ব্যবহার করেছে৷

প্রলোভনগুলি দেখতে আন্তর্জাতিক সরকারগুলির সাথে যুক্ত অফিসিয়াল নথির মতো, যা অর্থ, সমালোচনামূলক অবকাঠামো, নির্বাহী ব্যস্ততা, সাইবার নিরাপত্তা, সামুদ্রিক নিরাপত্তা, স্বাস্থ্যসেবা এবং প্রতিরক্ষা শিল্প উত্পাদনের মতো বিস্তৃত থিমগুলিকে কভার করে।

এর মধ্যে কিছু বৈধ, সর্বজনীনভাবে অ্যাক্সেসযোগ্য নথি। অন্যরা, আকর্ষণীয়ভাবে, নির্দিষ্ট সরকারী সংস্থার অভ্যন্তরীণ বলে মনে হচ্ছে, তারা কীভাবে অভিনব বিয়ার প্রথম স্থানে তাদের হাত ধরেছিল তা নিয়ে প্রশ্ন উত্থাপন করে।

IBM X-Force-এর হুমকি শিকারী ক্লেয়ার জাবোয়েভা নোট করেছেন, "ITG05 সফলভাবে ছদ্মবেশী সংস্থাগুলির সাথে আপস করেছে কিনা সে সম্পর্কে X-Force-এর অন্তর্দৃষ্টি নেই৷ "যেহেতু এটি সম্ভব ITG05 অভ্যন্তরীণ নথি সংগ্রহ করার জন্য অননুমোদিত অ্যাক্সেসের সুবিধা পেয়েছে, আমরা আমাদের দায়িত্বশীল প্রকাশ নীতির একটি অংশ হিসাবে প্রকাশের আগে কার্যকলাপের অনুকরণ করা সমস্ত পক্ষকে অবহিত করেছি।"

বিকল্পভাবে, ফ্যান্সি বিয়ার/ITGO5 নিছক বাস্তব ফাইল অনুকরণ করতে পারে। "উদাহরণস্বরূপ, কিছু উন্মোচিত নথিতে লক্ষণীয় ত্রুটি রয়েছে যেমন প্রধান দলগুলির নামের ভুল বানান যা সরকারী সরকারি চুক্তি বলে মনে হয়," তিনি বলেছিলেন।

একটি সম্ভাব্য উদ্দেশ্য?

এই lures আরেকটি গুরুত্বপূর্ণ গুণ হল যে তারা বেশ নির্দিষ্ট.

ইংরেজি ভাষার উদাহরণগুলির মধ্যে রয়েছে একটি জর্জিয়ান এনজিওর সাইবার নিরাপত্তা নীতির কাগজ, এবং মার্কিন নৌবাহিনীর প্যাসিফিক ইন্ডিয়ান ওশান শিপিং ওয়ার্কিং গ্রুপ (PACIOSWG)-এর অংশগ্রহণকারীদের জন্য 2024 সালের মিটিং এবং এক্সারসাইজ বেল বয় (XBB24) এর বিস্তারিত একটি জানুয়ারী ভ্রমণপথ।

এবং অর্থ-বিষয়ভিত্তিক প্রলোভন রয়েছে: একটি বেলারুশিয়ান নথি যাতে 2025 সালের মধ্যে আন্তঃরাষ্ট্রীয় উদ্যোগের সুবিধার্থে বাণিজ্যিক পরিস্থিতি তৈরি করার জন্য সুপারিশ করা হয়, একটি ইউরেশিয়ান অর্থনৈতিক ইউনিয়ন উদ্যোগের সাথে সারিবদ্ধভাবে, একটি আর্জেন্টিনার অর্থনীতির বাজেট নীতি নথি যা সহায়তা করার জন্য "কৌশলগত নির্দেশিকা" প্রদান করে। জাতীয় অর্থনৈতিক নীতি সহ রাষ্ট্রপতি, এবং এই লাইন বরাবর আরো.

"এটি সম্ভবত বাজেট উদ্বেগ সংক্রান্ত সংবেদনশীল তথ্য সংগ্রহ এবং বিশ্বব্যাপী সত্তার নিরাপত্তা ভঙ্গি ITG05 এর প্রতিষ্ঠিত মিশন স্থান দেওয়া একটি উচ্চ-অগ্রাধিকার লক্ষ্য," X-Force প্রচারাভিযানের উপর তার প্রতিবেদনে বলেছে৷

আর্জেন্টিনা, উদাহরণস্বরূপ, সম্প্রতি BRICS (ব্রাজিল, রাশিয়া, ভারত, চীন, দক্ষিণ আফ্রিকা) বাণিজ্য সংস্থায় যোগদানের আমন্ত্রণ প্রত্যাখ্যান করেছে, তাই "এটি সম্ভব যে ITG05 অ্যাক্সেস অর্জন করতে চায় যা আর্জেন্টিনা সরকারের অগ্রাধিকারের অন্তর্দৃষ্টি প্রদান করতে পারে। "এক্স-ফোর্স বলেছেন।

শোষণ-পরবর্তী কার্যকলাপ

সুনির্দিষ্টতা এবং বৈধতার উপস্থিতি ছাড়াও, আক্রমণকারীরা শিকারদের ফাঁদে ফেলার জন্য আরও একটি মনস্তাত্ত্বিক কৌশল ব্যবহার করে: প্রাথমিকভাবে নথির শুধুমাত্র একটি অস্পষ্ট সংস্করণ দিয়ে তাদের উপস্থাপন করে। নীচের চিত্রের মতো, প্রাপকরা এই নথিগুলিকে অফিসিয়াল এবং গুরুত্বপূর্ণ বলে মনে করার জন্য যথেষ্ট বিশদ দেখতে পাচ্ছেন, তবে সেগুলিতে ক্লিক করা এড়াতে যথেষ্ট নয়।

নমুনা প্রলুব্ধ নথি; সূত্র: আইবিএম

আক্রমণকারী-নিয়ন্ত্রিত সাইটের শিকার ব্যক্তিরা যখন প্রলুব্ধ নথি দেখতে ক্লিক করে, তখন তারা "মাসেপি" নামে একটি পাইথন ব্যাকডোর ডাউনলোড করে। ডিসেম্বরে প্রথম আবিষ্কৃত হয়, এটি একটি উইন্ডোজ মেশিনে অধ্যবসায় প্রতিষ্ঠা করতে এবং ফাইল ডাউনলোড এবং আপলোড এবং নির্বিচারে কমান্ড কার্যকর করতে সক্ষম।

সংক্রামিত মেশিনে Masepie ডাউনলোড করা ফাইলগুলির মধ্যে একটি হল "Oceanmap", একটি C#-ভিত্তিক টুল যা ইন্টারনেট মেসেজ অ্যাক্সেস প্রোটোকল (IMAP) এর মাধ্যমে কমান্ড কার্যকর করার জন্য। Oceanmap-এর আসল ভেরিয়েন্ট - এখানে ব্যবহার করা হয়নি - তথ্য চুরি করার কার্যকারিতা ছিল যা তখন থেকে এক্সাইজ করা হয়েছে এবং "Steelhook" এ স্থানান্তরিত করা হয়েছে, এই প্রচারণার সাথে যুক্ত অন্যান্য Masepie-ডাউনলোড করা পেলোড।

স্টিলহুক হল একটি পাওয়ারশেল স্ক্রিপ্ট যার কাজ হল ওয়েবহুকের মাধ্যমে গুগল ক্রোম এবং মাইক্রোসফ্ট এজ থেকে ডেটা উত্তোলন করা।

এর ম্যালওয়্যারের চেয়েও বেশি উল্লেখযোগ্য হল ফ্যান্সি বিয়ারের কাজ করার তাত্ক্ষণিকতা। হিসাবে প্রথম বর্ণিত ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) দ্বারা, শিকারের মেশিনে অবতরণের প্রথম ঘন্টার সাথে অভিনব ভালুকের সংক্রমণ, পিছনের দরজা ডাউনলোড করে এবং রিলে আক্রমণের জন্য চুরি করা NTLMv2 হ্যাশের মাধ্যমে রিকনেসান্স এবং পার্শ্বীয় আন্দোলন পরিচালনা করে।

তাই সম্ভাব্য ভুক্তভোগীদের দ্রুত কাজ করতে হবে বা, আরও ভালোভাবে, তাদের সংক্রমণের জন্য আগে থেকেই প্রস্তুতি নিতে হবে। IBM-এর সুপারিশের লন্ড্রি তালিকা অনুসরণ করে তারা তা করতে পারে: ফ্যান্সি বিয়ারের হোস্টিং প্রদানকারী, ফার্স্টক্লাউডআইটি দ্বারা পরিবেশিত ইউআরএল সহ ইমেলগুলির জন্য নিরীক্ষণ এবং অজানা সার্ভারগুলিতে সন্দেহজনক IMAP ট্র্যাফিক, এর পছন্দসই দুর্বলতাগুলিকে মোকাবেলা করা - যেমন CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 - এবং আরও অনেক কিছু।

"আইটিজি05 রাশিয়াকে জরুরী নীতিগত সিদ্ধান্তের জন্য উন্নত অন্তর্দৃষ্টি প্রদান করতে বিশ্ব সরকার এবং তাদের রাজনৈতিক যন্ত্রের বিরুদ্ধে আক্রমণ চালিয়ে যাবে," গবেষকরা উপসংহারে পৌঁছেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks