সিসকো, নেটগিয়ার এবং অন্যান্য ডিভাইসগুলি মাল্টি-স্টেজ ম্যালওয়ারের ঝুঁকিতে রয়েছে, যা এপ্রিল 2020 থেকে সক্রিয় রয়েছে এবং একটি পরিশীলিত হুমকি অভিনেতার কাজ দেখায়।
একটি অভিনব মাল্টিস্টেজ রিমোট এক্সেস ট্রোজান (RAT) যেটি এপ্রিল 2020 থেকে সক্রিয় রয়েছে সিসকো সিস্টেম, নেটগিয়ার, আসুস এবং অন্যান্যদের জনপ্রিয় SOHO রাউটারগুলিকে টার্গেট করার জন্য পরিচিত দুর্বলতাগুলিকে কাজে লাগাচ্ছে৷
লুমেন টেকনোলজিসের থ্রেট-ইন্টেলিজেন্স আর্ম ব্ল্যাক লোটাস ল্যাবসের গবেষকদের মতে, জুওআরএটি ডাব করা ম্যালওয়্যারটি স্থানীয় LAN অ্যাক্সেস করতে পারে, ডিভাইসে প্রেরণ করা প্যাকেট ক্যাপচার করতে পারে এবং DNS এবং HTTPS হাইজ্যাকিংয়ের মাধ্যমে ম্যান-ইন-দ্য-মিডল অ্যাটাক করতে পারে।
একটি SOHO ডিভাইস থেকে শুধুমাত্র একটি LAN-এ ঝাঁপিয়ে পড়ার ক্ষমতা এবং তারপরে আরও আক্রমণ করার ক্ষমতা ইঙ্গিত করে যে RAT একটি রাষ্ট্র-স্পন্সর অভিনেতার কাজ হতে পারে, তারা উল্লেখ করেছে একটি ব্লগ পোস্ট বুধবার প্রকাশিত।
"এই দুটি কৌশলের ব্যবহার একযোগে একজন হুমকি অভিনেতার দ্বারা উচ্চ স্তরের পরিশীলিততা প্রদর্শন করেছে, যা ইঙ্গিত করে যে এই প্রচারণাটি সম্ভবত একটি রাষ্ট্র-স্পন্সর সংস্থা দ্বারা সম্পাদিত হয়েছিল," গবেষকরা পোস্টে লিখেছেন।
আক্রমণে কমান্ড-এন্ড-কন্ট্রোল (সিএন্ডসি) এর সাথে যোগাযোগ ঢাকতে হুমকি অভিনেতারা যে ফাঁকি দেওয়ার মাত্রা ব্যবহার করে "অতিরিক্ত করা যায় না" এবং জুওআরএটি পেশাদারদের কাজ বলেও নির্দেশ করে, তারা বলেছে।
"প্রথমত, সন্দেহ এড়াতে, তারা একটি ডেডিকেটেড ভার্চুয়াল প্রাইভেট সার্ভার (ভিপিএস) থেকে প্রাথমিক শোষণটি হস্তান্তর করেছে যা সৌম্য বিষয়বস্তু হোস্ট করেছে, "গবেষকরা লিখেছেন। “পরবর্তীতে, তারা রাউটারগুলিকে প্রক্সি C2 হিসাবে ব্যবহার করে যা আরও সনাক্তকরণ এড়াতে রাউটার-টু-রাউটার যোগাযোগের মাধ্যমে সরল দৃষ্টিতে লুকিয়ে থাকে। এবং অবশেষে, তারা সনাক্তকরণ এড়াতে পর্যায়ক্রমে প্রক্সি রাউটারগুলি ঘোরান।"
মহামারী সুযোগ
গবেষকরা এর নাম দিয়েছেন সাহসী যোদ্ধা হুমকি অভিনেতাদের দ্বারা ব্যবহৃত ফাইল নামের কারণে "বাম" এর চীনা শব্দের পরে, "asdf.a." নামটি "বাঁদিকের বাড়ির চাবিতে কীবোর্ড হাঁটার পরামর্শ দেয়," গবেষকরা লিখেছেন।
কোভিড-১৯ মহামারী শুরু হওয়ার কিছুক্ষণ পরেই থ্রেট অ্যাক্টররা প্রায়শই আনপ্যাচ না করা SOHO ডিভাইসগুলির সুবিধা নিতে পারে এবং অনেক কর্মীকে নির্দেশ দেওয়া হয়েছিল বাসা থেকে কাজ, যা খোলা আছে নিরাপত্তা হুমকির একটি হোস্ট, তারা বলেন.
"2020 সালের বসন্তে দূরবর্তী কাজের দ্রুত স্থানান্তর হুমকি অভিনেতাদের জন্য নতুন নেটওয়ার্ক পরিধির দুর্বলতম পয়েন্টগুলিকে লক্ষ্য করে ঐতিহ্যগত প্রতিরক্ষা-ইন-গভীর সুরক্ষাগুলিকে নষ্ট করার একটি নতুন সুযোগ উপস্থাপন করেছে - ডিভাইসগুলি যা নিয়মিতভাবে ভোক্তাদের দ্বারা কেনা হয় কিন্তু খুব কমই পর্যবেক্ষণ করা হয় বা প্যাচ করা হয়৷ "গবেষকরা লিখেছেন। "অভিনেতারা টার্গেট নেটওয়ার্কে একটি কম-সনাক্তকরণ উপস্থিতি বজায় রাখতে এবং LAN ট্রানজিট করা সংবেদনশীল তথ্য শোষণ করতে SOHO রাউটার অ্যাক্সেসের সুবিধা নিতে পারে।"
মাল্টি-স্টেজ অ্যাটাক
গবেষকরা যা পর্যবেক্ষণ করেছেন তা থেকে, জুওআরএটি একটি মাল্টি-স্টেজ ব্যাপার, যার মূল কার্যকারিতার প্রথম ধাপটি ডিভাইস এবং ল্যান সম্পর্কে তথ্য সংগ্রহ করার জন্য ডিজাইন করা হয়েছে যার সাথে এটি সংযুক্ত, নেটওয়ার্ক ট্র্যাফিকের প্যাকেট ক্যাপচার সক্ষম করে এবং তারপরে তথ্যটি কমান্ডে ফেরত পাঠায়। -এবং-নিয়ন্ত্রণ (C&C)।
"আমরা মূল্যায়ন করি যে এই উপাদানটির উদ্দেশ্য ছিল হুমকি অভিনেতাকে লক্ষ্যযুক্ত রাউটার এবং সন্নিহিত LAN-এ অ্যাক্সেস বজায় রাখতে হবে কিনা তা নির্ধারণ করা," গবেষকরা উল্লেখ করেছেন।
এজেন্টের শুধুমাত্র একটি দৃষ্টান্ত উপস্থিত ছিল তা নিশ্চিত করার জন্য এই পর্যায়ে কার্যকারিতা রয়েছে এবং একটি কোর ডাম্প সঞ্চালন করার জন্য যা মেমরিতে সংরক্ষিত ডেটা যেমন শংসাপত্র, রাউটিং টেবিল এবং আইপি টেবিলের পাশাপাশি অন্যান্য তথ্য প্রদান করতে পারে, তারা বলেছে।
জুওআরএটি রাউটারে অভিনেতা হিসাবে ব্যবহারের জন্য পাঠানো সহায়ক কমান্ডগুলির সমন্বয়ে গঠিত একটি দ্বিতীয় উপাদানও অন্তর্ভুক্ত করে তাই সংক্রামিত ডিভাইসে ডাউনলোড করা যেতে পারে এমন অতিরিক্ত মডিউলগুলি ব্যবহার করে বেছে নেয়।
"আমরা প্রায় 2,500 এমবেডেড ফাংশন পর্যবেক্ষণ করেছি, যার মধ্যে পাসওয়ার্ড স্প্রে করা থেকে USB গণনা এবং কোড ইনজেকশন পর্যন্ত মডিউল অন্তর্ভুক্ত ছিল," গবেষকরা লিখেছেন।
এই উপাদানটি ল্যান গণনার ক্ষমতার জন্য সক্ষমতা প্রদান করে, যা হুমকি অভিনেতাকে ল্যান পরিবেশকে আরও সুযোগ দিতে এবং ডিএনএস এবং এইচটিটিপি হাইজ্যাকিং করতে দেয়, যা সনাক্ত করা কঠিন হতে পারে।
চলমান হুমকি
ব্ল্যাক লোটাস ভাইরাস টোটাল এবং এর নিজস্ব টেলিমেট্রির নমুনাগুলি বিশ্লেষণ করে এই সিদ্ধান্তে পৌঁছেছে যে এখন পর্যন্ত প্রায় 80 টি লক্ষ্য জুওআরএটি দ্বারা আপস করা হয়েছে।
RAT ছড়িয়ে দেওয়ার জন্য রাউটার অ্যাক্সেস করার জন্য ব্যবহৃত পরিচিত দুর্বলতাগুলির মধ্যে রয়েছে: জন্য CVE-2020-26878 এবং জন্য CVE-2020-26879. বিশেষত, হুমকি অভিনেতারা পাইথন-সংকলিত উইন্ডোজ পোর্টেবল এক্সিকিউটেবল (PE) ফাইল ব্যবহার করত যা ধারণার একটি প্রমাণ উল্লেখ করে ruckus151021.py শংসাপত্র পেতে এবং জুওআরএটি লোড করতে, তারা বলেছে।
জুওআরএটি দ্বারা প্রদর্শিত ক্ষমতা এবং আচরণের কারণে, এটি খুব সম্ভবত যে জুওআরএটির পিছনের হুমকি অভিনেতা এখনও সক্রিয়ভাবে ডিভাইসগুলিকে লক্ষ্য করে চলেছেন তা নয়, বরং "বছর ধরে লক্ষ্যযুক্ত নেটওয়ার্কগুলির প্রান্তে সনাক্ত করা হয়নি," গবেষকরা বলেছেন।
এটি কর্পোরেট নেটওয়ার্ক এবং অন্যান্য সংস্থাগুলির জন্য একটি অত্যন্ত বিপজ্জনক পরিস্থিতি উপস্থাপন করে যেখানে দূরবর্তী কর্মীরা প্রভাবিত ডিভাইসগুলির সাথে সংযোগ স্থাপন করে, একজন নিরাপত্তা পেশাদার উল্লেখ করেছেন।
“SOHO ফার্মওয়্যার সাধারণত নিরাপত্তার কথা মাথায় রেখে তৈরি করা হয় না, বিশেষ করে প্রাক-মহামারী ফার্মওয়্যার যেখানে SOHO রাউটারগুলি একটি বড় অ্যাটাক ভেক্টর ছিল না,” সাইবার সিকিউরিটি ফার্মের আক্রমণাত্মক নিরাপত্তা দলের প্রধান ডাহভিড শ্লোস পর্যবেক্ষণ করেছেন পর্যায়, থ্রেটপোস্টে একটি ইমেলে।
একবার একটি দুর্বল ডিভাইসের সাথে আপস করা হলে, হুমকি অভিনেতাদের তারপর তারা যে বিশ্বস্ত সংযোগটি হাইজ্যাক করে তার সাথে "যে কোনো ডিভাইস সংযুক্ত থাকে তাতে খোঁচা দিতে এবং প্রড করার" মুক্ত লাগাম থাকে, তিনি বলেছিলেন।
"সেখান থেকে আপনি নেটওয়ার্কে শোষণ নিক্ষেপ করার জন্য প্রক্সিচেইন ব্যবহার করার চেষ্টা করতে পারেন বা নেটওয়ার্কের ভিতরে, বাইরে এবং চারপাশে যাওয়া সমস্ত ট্র্যাফিক নিরীক্ষণ করতে পারেন," শ্লোস বলেছিলেন।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
