সাইবার আক্রমণকারীরা ইইউ কূটনীতিকদের ওয়াইন-টেস্টিং অফার দিয়ে প্রলুব্ধ করে

ইউরোপীয়রা সূক্ষ্ম ওয়াইন উপভোগ করতে পরিচিত, একটি সাংস্কৃতিক বৈশিষ্ট্য যা সাম্প্রতিক হুমকি প্রচারণার পিছনে আক্রমণকারীরা তাদের বিরুদ্ধে ব্যবহার করেছে। সাইবার অপারেশনের লক্ষ্য একটি প্রদান করা নভেল ব্যাকডোর ইউরোপীয় ইউনিয়নের (ইইউ) কূটনীতিকদের একটি জাল ওয়াইন টেস্টিং ইভেন্টের মাধ্যমে প্রলুব্ধ করে।

Zscaler's ThreatLabz-এর গবেষকরা এই প্রচারাভিযানটি আবিষ্কার করেছেন, যা বিশেষভাবে ভারতীয় কূটনৈতিক মিশনের সাথে EU দেশগুলির কর্মকর্তাদের লক্ষ্য করে, তারা লিখেছেন একটি ব্লগ পোস্টে 27 ফেব্রুয়ারী প্রকাশিত হয়েছে৷ অভিনেতা - যথাযথভাবে "স্পিকডওয়াইন" নামে ডাকা হয়েছে - ইমেলগুলিতে একটি PDF ফাইল ব্যবহার করেছেন যা ভারতের রাষ্ট্রদূতের কাছ থেকে একটি আমন্ত্রণ পত্র হতে পারে, 2 ফেব্রুয়ারিতে একটি ওয়াইন-টেস্টিং ইভেন্টে কূটনীতিকদের আমন্ত্রণ জানিয়েছিল৷

"আমরা বিশ্বাস করি যে একটি জাতি-রাষ্ট্র হুমকি অভিনেতা, ভারত এবং ইউরোপীয় দেশগুলির কূটনীতিকদের মধ্যে ভূ-রাজনৈতিক সম্পর্ককে কাজে লাগাতে আগ্রহী, এই হামলা চালিয়েছে," Zscaler ThreatLabz গবেষক সুদীপ সিং এবং রায় টে পোস্টে লিখেছেন৷

প্রচারণার পেলোড হল a পিছনের দরজা যে গবেষকরা "WineLoader" নামে অভিহিত করেছেন, যার একটি মডুলার ডিজাইন রয়েছে এবং সনাক্তকরণ এড়াতে বিশেষভাবে কৌশল নিয়োগ করে। এর মধ্যে রয়েছে পুনঃ-এনক্রিপশন এবং মেমরি বাফার শূন্য করা, যা মেমরিতে সংবেদনশীল ডেটা রক্ষা করতে এবং মেমরি ফরেনসিক সমাধানগুলি এড়াতে পরিবেশন করে, গবেষকরা উল্লেখ করেছেন।

SpikedWine আক্রমণ চেইনের একাধিক পর্যায়ে কমান্ড-এন্ড-কন্ট্রোল (C2) এর জন্য আপোসকৃত ওয়েবসাইট ব্যবহার করে, যেটি শুরু হয় যখন একজন শিকার পিডিএফ-এর একটি লিঙ্কে ক্লিক করে এবং WineLoader-এর মডুলার ডেলিভারির সাথে শেষ হয়। সামগ্রিকভাবে, সাইবার আক্রমণকারীরা সামাজিকভাবে পরিচালিত প্রচারাভিযানের সৃজনশীল নৈপুণ্য এবং ম্যালওয়্যার উভয় ক্ষেত্রেই উচ্চ স্তরের পরিশীলিততা দেখিয়েছে, গবেষকরা বলেছেন।

SpikedWine আনকর্ক্স একাধিক সাইবারট্যাক পর্যায়

Zscaler ThreatLabz পিডিএফ ফাইলটি আবিষ্কার করেছে — ভারতীয় রাষ্ট্রদূতের বাসভবনে কথিত ওয়াইন-টেস্টিংয়ের আমন্ত্রণ — লাটভিয়া থেকে 30 জানুয়ারী VirusTotal-এ আপলোড করা হয়েছে। আক্রমণকারীরা ভারতের রাষ্ট্রদূতের ছদ্মবেশ ধারণ করার জন্য বিষয়বস্তুগুলি যত্ন সহকারে তৈরি করেছিল এবং আমন্ত্রণে একটি বড় লিঙ্ক রয়েছে একটি জাল প্রশ্নপত্রের প্রতি ভিত্তি করে যে অংশগ্রহণ করার জন্য এটি অবশ্যই পূরণ করতে হবে।

ক্লিঙ্কিং — err, ক্লিক করা — লিঙ্কে ব্যবহারকারীদের একটি আপস করা সাইটে পুনঃনির্দেশিত করে যা “wine.hta” নামক একটি ফাইল ধারণকারী একটি জিপ সংরক্ষণাগার ডাউনলোড করতে এগিয়ে যায়। ডাউনলোড করা ফাইলটিতে অস্পষ্ট জাভাস্ক্রিপ্ট কোড রয়েছে যা আক্রমণের পরবর্তী পর্যায়ে কার্যকর করে।

অবশেষে, ফাইলটি পাথ থেকে sqlwriter.exe নামে একটি ফাইল চালায়: C:WindowsTasks vcruntime140.dll নামে একটি ক্ষতিকারক DLL লোড করে WineLoader ব্যাকডোর ইনফেকশন চেইন শুরু করতে। এটি ঘুরে একটি রপ্তানি ফাংশন নির্বাহ করে সেট_সে_অনুবাদক, যা কার্যকর করার আগে একটি হার্ডকোডেড 256-বাইট RC4 কী ব্যবহার করে DLL-এর মধ্যে এমবেড করা WineLoader কোর মডিউলটিকে ডিক্রিপ্ট করে।

ওয়াইনলোডার: মডুলার, ক্রমাগত ব্যাকডোর ম্যালওয়্যার

WineLoader-এর বেশ কয়েকটি মডিউল রয়েছে, যার প্রতিটিতে কনফিগারেশন ডেটা, একটি RC4 কী এবং এনক্রিপ্ট করা স্ট্রিং রয়েছে, যার পরে মডিউল কোড রয়েছে। গবেষকদের দ্বারা পর্যবেক্ষণ করা মডিউলগুলির মধ্যে একটি মূল মডিউল এবং একটি অধ্যবসায় মডিউল অন্তর্ভুক্ত রয়েছে।

কোর মডিউল তিনটি কমান্ড সমর্থন করে: কমান্ড-এন্ড-কন্ট্রোল সার্ভার (C2) থেকে মডিউলগুলি সিঙ্ক্রোনাস বা অ্যাসিঙ্ক্রোনাসভাবে সম্পাদন করা; অন্য DLL মধ্যে ব্যাকডোর ইনজেকশন; এবং বীকন অনুরোধের মধ্যে ঘুমের ব্যবধানের আপডেট।

অধ্যবসায় মডিউল অনুমতি লক্ষ্য করা হয় পিছনের দরজা নির্দিষ্ট ব্যবধানে নিজেকে কার্যকর করতে। এটি একটি লক্ষ্যযুক্ত মেশিনে অন্য অবস্থানে রেজিস্ট্রি অধ্যবসায় স্থাপনের জন্য একটি বিকল্প কনফিগারেশনও অফার করে।

সাইবার্টট্যাকার এর ইভেসিভ ট্যাকটিকস

WineLoader বিশেষভাবে সনাক্তকরণ এড়ানোর লক্ষ্যে বেশ কয়েকটি ফাংশন রয়েছে, যা SpikedWine দ্বারা একটি উল্লেখযোগ্য স্তরের পরিশীলিততা প্রদর্শন করে, গবেষকরা বলেছেন। এটি C2 সার্ভার থেকে ডাউনলোড করা মূল মডিউল এবং পরবর্তী মডিউল, স্ট্রিং এবং C2 থেকে পাঠানো ও প্রাপ্ত ডেটা - একটি হার্ডকোডেড 256-বাইট RC4 কী সহ এনক্রিপ্ট করে।

ম্যালওয়্যারটি ব্যবহারে কিছু স্ট্রিং ডিক্রিপ্ট করে যা কিছুক্ষণ পরেই পুনরায় এনক্রিপ্ট করা হয়, গবেষকরা বলেছেন। এবং এতে মেমরি বাফার রয়েছে যা API কল থেকে ফলাফল সংরক্ষণ করে, সেইসাথে ব্যবহারের পরে ডিক্রিপ্ট করা স্ট্রিংগুলিকে শূন্য দিয়ে প্রতিস্থাপন করে।

SpikedWine কিভাবে কাজ করে তার আরেকটি উল্লেখযোগ্য দিক হল যে অভিনেতা আক্রমণ চেইনের সমস্ত পর্যায়ে আপসহীন নেটওয়ার্ক অবকাঠামো ব্যবহার করে। বিশেষত, গবেষকরা মধ্যবর্তী পেলোড হোস্টিং বা C2 সার্ভার হিসাবে ব্যবহৃত তিনটি আপোসযুক্ত ওয়েবসাইট চিহ্নিত করেছেন, তারা বলেছে।

সুরক্ষা এবং সনাক্তকরণ (কীভাবে রেড ওয়াইনের দাগ এড়ানো যায়)

Zscaler ThreatLabz ভারতের ন্যাশনাল ইনফরমেটিক্স সেন্টার (NIC) এ হামলায় ভারতীয় সরকারের থিমের অপব্যবহারের বিষয়ে যোগাযোগকারীদের অবহিত করেছে।

যেহেতু আক্রমণে ব্যবহৃত C2 সার্ভারটি নির্দিষ্ট সময়ে শুধুমাত্র নির্দিষ্ট ধরনের অনুরোধে সাড়া দেয়, তাই স্বয়ংক্রিয় বিশ্লেষণ সমাধানগুলি সনাক্তকরণ এবং বিশ্লেষণের জন্য C2 প্রতিক্রিয়া এবং মডুলার পেলোডগুলি পুনরুদ্ধার করতে পারে না, গবেষকরা বলেছেন। ডিফেন্ডারদের সাহায্য করার জন্য, তারা তাদের ব্লগ পোস্টে আক্রমণের সাথে যুক্ত সমঝোতার সূচক (IoCs) এবং URL এর একটি তালিকা অন্তর্ভুক্ত করেছে।

একটি বহুস্তরযুক্ত ক্লাউড নিরাপত্তা প্ল্যাটফর্ম বিভিন্ন স্তরে WineLoader-এর সাথে সম্পর্কিত IoCs সনাক্ত করা উচিত, যেমন হুমকি নামের যে কোনো ফাইল, Win64.Downloader.WineLoader, গবেষকরা উল্লেখ করেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers