চীন-ভিত্তিক বিলবাগ এপিটি শংসাপত্র কর্তৃপক্ষ প্লাটোব্লকচেন ডেটা বুদ্ধিমত্তার অনুপ্রবেশ করে। উল্লম্ব অনুসন্ধান. আই.

চীন ভিত্তিক বিলবাগ এপিটি শংসাপত্র কর্তৃপক্ষের অনুপ্রবেশ করে

সময় স্ট্যাম্প: নভেম্বর 16, 2022 6:00 অপরাহ্ন

বিলবাগ নামে পরিচিত রাষ্ট্র-স্পন্সরকৃত সাইবারট্যাক গোষ্ঠী একটি ডিজিটাল সার্টিফিকেট অথরিটি (CA) এর সাথে আপস করতে পেরেছে একটি বিস্তৃত গুপ্তচরবৃত্তির প্রচারণার অংশ হিসাবে যা মার্চ পর্যন্ত প্রসারিত হয়েছিল - অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) প্লেবুকের একটি উন্নয়ন সংক্রান্ত, গবেষকরা সতর্ক করেছেন।

ডিজিটাল সার্টিফিকেট হল এমন ফাইল যা সফ্টওয়্যারকে বৈধ হিসাবে সাইন ইন করতে এবং এনক্রিপ্ট করা সংযোগ সক্ষম করতে একটি ডিভাইস বা ব্যবহারকারীর পরিচয় যাচাই করতে ব্যবহৃত হয়। যেমন, একটি CA সমঝোতা গোপন ফলো-অন আক্রমণের একটি বাহিনী হতে পারে।

"একটি শংসাপত্র কর্তৃপক্ষের লক্ষ্যবস্তু উল্লেখযোগ্য, যেন আক্রমণকারীরা শংসাপত্রগুলি অ্যাক্সেস করার জন্য এটিকে সফলভাবে আপস করতে সক্ষম হয়েছিল, তারা সম্ভাব্যভাবে একটি বৈধ শংসাপত্র সহ ম্যালওয়্যার স্বাক্ষর করার জন্য তাদের ব্যবহার করতে পারে এবং এটি শিকার মেশিনে সনাক্তকরণ এড়াতে সহায়তা করতে পারে," অনুসারে একটি প্রতিবেদন এই সপ্তাহে Symantec থেকে। "এটি এইচটিটিপিএস ট্র্যাফিককে বাধা দেওয়ার জন্য সম্ভাব্য আপোষকৃত শংসাপত্রগুলিও ব্যবহার করতে পারে।"

"এটি সম্ভাব্য খুব বিপজ্জনক," গবেষকরা উল্লেখ করেছেন।

সাইবার-সমঝোতার একটি চলমান স্পট

বিলবাগ (ওরফে লোটাস ব্লসম বা থ্রিপ) হল একটি চীন ভিত্তিক গুপ্তচরবৃত্তি যারা প্রধানত দক্ষিণ-পূর্ব এশিয়ায় শিকারদের লক্ষ্য করে। এটি বিগ-গেম হান্টিংয়ের জন্য পরিচিত — অর্থাৎ, সামরিক সংস্থা, সরকারী সংস্থা এবং যোগাযোগ প্রদানকারীর গোপনীয়তা অনুসরণ করা। কখনও কখনও এটি একটি বিস্তৃত জাল ফেলে, অন্ধকার প্রেরণার ইঙ্গিত দেয়: অতীতের একটি উদাহরণে, এটি উপগ্রহের গতিবিধি নিরীক্ষণ এবং নিয়ন্ত্রণকারী কম্পিউটারগুলিকে সংক্রামিত করার জন্য একটি মহাকাশ অপারেটরকে অনুপ্রবেশ করেছিল।

ঘৃণ্য কার্যকলাপের সর্বশেষ দৌড়ে, এপিটি এশিয়া জুড়ে সরকারী এবং প্রতিরক্ষা সংস্থাগুলির একটি প্যান্থিয়নকে আঘাত করেছে, একটি ক্ষেত্রে একটি সরকারী নেটওয়ার্কে তার কাস্টম ম্যালওয়্যার সহ "বড় সংখ্যক মেশিন" সংক্রমিত করেছে।

"এই প্রচারাভিযানটি কমপক্ষে মার্চ 2022 থেকে সেপ্টেম্বর 2022 পর্যন্ত চলমান ছিল, এবং সম্ভবত এই কার্যকলাপটি চলমান থাকতে পারে," বলেছেন সিম্যানটেক থ্রেট হান্টার টিমের সিনিয়র গোয়েন্দা বিশ্লেষক ব্রিগিড ও গরম্যান। “বিলবাগ একটি দীর্ঘ-প্রতিষ্ঠিত হুমকি গোষ্ঠী যা বছরের পর বছর ধরে একাধিক প্রচারণা চালিয়েছে। এটা সম্ভব যে এই ক্রিয়াকলাপটি অতিরিক্ত সংস্থা বা ভৌগলিক অঞ্চলে প্রসারিত হতে পারে, যদিও সিম্যানটেকের এই মুহূর্তে এর কোনও প্রমাণ নেই।"

সাইবার আক্রমণের জন্য একটি পরিচিত পদ্ধতি

সেই লক্ষ্যগুলির পাশাপাশি CA-তে, প্রাথমিক অ্যাক্সেস ভেক্টরটি দুর্বল, জন-মুখী অ্যাপ্লিকেশনগুলির শোষণ। কোড চালানোর ক্ষমতা অর্জন করার পর, হুমকি অভিনেতারা নেটওয়ার্কের গভীরে যাওয়ার আগে তাদের পরিচিত, কাস্টম হ্যানোটগ বা সেজেরুনেক্স ব্যাকডোর ইনস্টল করতে থাকে।

পরবর্তী কিল-চেইন পর্যায়ের জন্য, বিলবাগ আক্রমণকারীরা একাধিক ব্যবহার করে লিভিং-অফ-দ্য-ল্যান্ড বাইনারি (LoLBins), যেমন AdFind, Certutil, NBTscan, Ping, পোর্ট স্ক্যানার, রুট, Tracert, Winmail, এবং WinRAR, Symantec এর রিপোর্ট অনুসারে।

এই বৈধ সরঞ্জামগুলি বিভিন্ন ডপেলগ্যাঞ্জার ব্যবহারের জন্য অপব্যবহার করা যেতে পারে, যেমন একটি নেটওয়ার্ক ম্যাপ করার জন্য অ্যাক্টিভ ডিরেক্টরি জিজ্ঞাসা করা, এক্সফিল্ট্রেশনের জন্য ফাইল জিপ-ইন করা, এন্ডপয়েন্টগুলির মধ্যে পথ উন্মোচন করা, নেটবিআইওএস এবং পোর্ট স্ক্যান করা এবং ব্রাউজার রুট সার্টিফিকেট ইনস্টল করা - অতিরিক্ত ম্যালওয়্যার ডাউনলোড করার কথা উল্লেখ না করা। .

দ্বৈত-ব্যবহারের সরঞ্জামগুলির সাথে একত্রিত কাস্টম ব্যাকডোরগুলি একটি পরিচিত পদচিহ্ন, যা অতীতে APT দ্বারা ব্যবহৃত হয়েছে। কিন্তু পাবলিক এক্সপোজার নিয়ে উদ্বেগের অভাব রয়েছে গ্রুপের জন্য কোর্সের জন্য সমান.

"এটি উল্লেখযোগ্য যে বিলবাগ এই ক্রিয়াকলাপটিকে এটির সাথে যুক্ত করার সম্ভাবনার দ্বারা নিরুৎসাহিত বলে মনে হচ্ছে, এটি অতীতে গ্রুপের সাথে লিঙ্ক করা সরঞ্জামগুলিকে পুনরায় ব্যবহার করার সাথে," গরম্যান বলেছেন।

তিনি যোগ করেন, “জমি থেকে দূরে বসবাস এবং দ্বৈত-ব্যবহারের সরঞ্জামগুলির জন্য গোষ্ঠীর ব্যাপক ব্যবহারও উল্লেখযোগ্য, এবং সংস্থাগুলির এমন নিরাপত্তা পণ্যগুলির প্রয়োজনীয়তার উপর জোর দেয় যা শুধুমাত্র ম্যালওয়্যার সনাক্ত করতে পারে না, তবে বৈধ সরঞ্জামগুলি সম্ভাব্যভাবে ব্যবহার করা হচ্ছে কিনা তাও সনাক্ত করুন সন্দেহজনক বা দূষিত উপায়ে।"

Symantec এই কার্যকলাপ সম্পর্কে অবহিত করার জন্য প্রশ্নে নামহীন CA-কে অবহিত করেছে, কিন্তু Gorman এর প্রতিক্রিয়া বা প্রতিকার প্রচেষ্টার বিষয়ে আরও বিশদ বিবরণ দিতে অস্বীকার করেছে।

যদিও এখনও পর্যন্ত কোনও ইঙ্গিত নেই যে গোষ্ঠীটি প্রকৃত ডিজিটাল শংসাপত্রগুলির সাথে আপস করতে সক্ষম হয়েছিল, গবেষক পরামর্শ দিয়েছেন, "উদ্যোগগুলিকে সচেতন হওয়া উচিত যে যদি হুমকি অভিনেতারা শংসাপত্র কর্তৃপক্ষের অ্যাক্সেস অর্জন করতে সক্ষম হয় তবে ম্যালওয়্যার বৈধ শংসাপত্রের সাথে স্বাক্ষরিত হতে পারে।"

সাধারণভাবে, সংস্থাগুলির একটি সম্ভাব্য আক্রমণ শৃঙ্খলের প্রতিটি পয়েন্টে ঝুঁকি কমাতে একাধিক সনাক্তকরণ, সুরক্ষা এবং কঠোর প্রযুক্তি ব্যবহার করে একটি প্রতিরক্ষা-গভীর কৌশল গ্রহণ করা উচিত, তিনি বলেছেন।

"সিম্যানটেক প্রশাসনিক অ্যাকাউন্ট ব্যবহারের যথাযথ অডিট এবং নিয়ন্ত্রণ বাস্তবায়নের পরামর্শ দেবে," গোরম্যান উল্লেখ করেছেন। “আমরা অ্যাডমিন সরঞ্জামগুলির জন্য ব্যবহারের প্রোফাইল তৈরি করার পরামর্শ দিই কারণ এই সরঞ্জামগুলির মধ্যে অনেকগুলি আক্রমণকারীরা একটি নেটওয়ার্কের মাধ্যমে পাশ্ববর্তীভাবে অজ্ঞাত স্থানান্তর করতে ব্যবহার করে৷ বোর্ড জুড়ে, মাল্টিফ্যাক্টর অথেনটিকেশন (MFA) আপস করা শংসাপত্রের উপযোগিতা সীমিত করতে সাহায্য করতে পারে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া