APT-C-50 এর গার্হস্থ্য বিড়ালছানা প্রচারাভিযান অব্যাহত রয়েছে, ইরানী নাগরিকদের লক্ষ্য করে FurBall ম্যালওয়্যারের একটি নতুন সংস্করণ যা একটি অ্যান্ড্রয়েড অনুবাদ অ্যাপ হিসাবে ছদ্মবেশে রয়েছে
ESET গবেষকরা সম্প্রতি APT-C-50 গ্রুপ দ্বারা পরিচালিত একটি ডোমেস্টিক কিটেন ক্যাম্পেইনে ব্যবহৃত অ্যান্ড্রয়েড ম্যালওয়্যার ফারবলের একটি নতুন সংস্করণ সনাক্ত করেছেন। গার্হস্থ্য বিড়ালছানা প্রচারাভিযান ইরানী নাগরিকদের বিরুদ্ধে মোবাইল নজরদারি অভিযান পরিচালনা করার জন্য পরিচিত এবং এই নতুন ফুরবল সংস্করণটি লক্ষ্যমাত্রার ক্ষেত্রে আলাদা নয়। জুন 2021 থেকে, এটি একটি ইরানী ওয়েবসাইটের একটি কপিক্যাটের মাধ্যমে অনুবাদ অ্যাপ হিসেবে বিতরণ করা হয়েছে যা অনুবাদ করা নিবন্ধ, জার্নাল এবং বই সরবরাহ করে। ক্ষতিকারক অ্যাপটি VirusTotal-এ আপলোড করা হয়েছিল যেখানে এটি আমাদের YARA নিয়মগুলির একটিকে ট্রিগার করেছিল (ম্যালওয়্যার নমুনাগুলিকে শ্রেণীবদ্ধ করতে এবং সনাক্ত করতে ব্যবহৃত হয়), যা আমাদের এটি বিশ্লেষণ করার সুযোগ দিয়েছে৷
FurBall-এর এই সংস্করণে পূর্ববর্তী সংস্করণগুলির মতো একই নজরদারি কার্যকারিতা রয়েছে; যাইহোক, হুমকি অভিনেতারা ক্লাস এবং পদ্ধতির নাম, স্ট্রিং, লগ এবং সার্ভার ইউআরআইগুলিকে কিছুটা অস্পষ্ট করেছে। এই আপডেটের জন্য C&C সার্ভারেও ছোট পরিবর্তন প্রয়োজন - অবিকল, সার্ভার-সাইড পিএইচপি স্ক্রিপ্টগুলির নাম। যেহেতু এই ভেরিয়েন্টের কার্যকারিতা পরিবর্তিত হয়নি, তাই এই আপডেটের মূল উদ্দেশ্য নিরাপত্তা সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে মনে হচ্ছে। এই পরিবর্তনগুলি ESET সফ্টওয়্যারের উপর কোন প্রভাব ফেলেনি, তবে; ESET পণ্যগুলি Android/Spy.Agent.BWS হিসাবে এই হুমকি সনাক্ত করে৷
বিশ্লেষিত নমুনা শুধুমাত্র একটি অনুপ্রবেশকারী অনুমতি অনুরোধ - পরিচিতি অ্যাক্সেস করতে. এর কারণ হতে পারে রাডারের আওতায় থাকা। অন্যদিকে, আমরা এটাও মনে করি যে এটি টেক্সট বার্তার মাধ্যমে পরিচালিত একটি স্পিয়ারফিশিং আক্রমণের ঠিক পূর্ববর্তী পর্যায়ের সংকেত হতে পারে। যদি হুমকি অভিনেতা অ্যাপের অনুমতিগুলি প্রসারিত করে, তবে এটি প্রভাবিত ফোনগুলি থেকে অন্যান্য ধরণের ডেটা যেমন এসএমএস বার্তা, ডিভাইসের অবস্থান, রেকর্ড করা ফোন কল এবং আরও অনেক কিছু বের করতে সক্ষম হবে।
- গার্হস্থ্য বিড়ালছানা প্রচারাভিযান চলমান, অন্তত 2016 থেকে ডেটিং।
- এটি মূলত ইরানি নাগরিকদের টার্গেট করে।
- আমরা প্রচারে ব্যবহৃত একটি নতুন, অস্পষ্ট Android Furball নমুনা আবিষ্কার করেছি।
- এটি একটি কপিক্যাট ওয়েবসাইট ব্যবহার করে বিতরণ করা হয়।
- বিশ্লেষিত নমুনা রাডারের অধীনে থাকার জন্য শুধুমাত্র সীমিত গুপ্তচরবৃত্তির কার্যকারিতা সক্ষম করেছে।
গার্হস্থ্য বিড়ালছানা ওভারভিউ
APT-C-50 গ্রুপ, তার গার্হস্থ্য বিড়ালছানা অভিযানে, 2016 সাল থেকে ইরানি নাগরিকদের বিরুদ্ধে মোবাইল নজরদারি অভিযান পরিচালনা করছে, যেমনটি রিপোর্ট করেছে চেক পয়েন্ট 2018 সালে। 2019 সালে, প্রবণতা মাইক্রো একটি দূষিত প্রচারাভিযান চিহ্নিত করেছে, সম্ভবত ডোমেস্টিক কিটেনের সাথে সংযুক্ত, মধ্যপ্রাচ্যকে টার্গেট করে, প্রচারণার নাম দিয়েছে বাউন্সিং গল্ফ। এর কিছুদিন পর একই বছরে, কিয়ানজিন আবার ইরানকে লক্ষ্য করে একটি গৃহপালিত বিড়ালছানা প্রচারণার খবর দিয়েছে। 2020 সালে, 360 কোর নিরাপত্তা মধ্যপ্রাচ্যে সরকার বিরোধী দলগুলিকে লক্ষ্য করে ডোমেস্টিক কিটেনের নজরদারি কার্যক্রম প্রকাশ করা হয়েছে৷ সর্বশেষ জানা সর্বজনীনভাবে উপলব্ধ প্রতিবেদনটি 2021 সালের চেক পয়েন্ট.
FurBall – এই অভিযান শুরু হওয়ার পর থেকে এই অপারেশনে ব্যবহৃত অ্যান্ড্রয়েড ম্যালওয়্যার – বাণিজ্যিক স্টকারওয়্যার টুল KidLogger-এর উপর ভিত্তি করে তৈরি করা হয়েছে। মনে হচ্ছে যে FurBall ডেভেলপাররা সাত বছর আগে থেকে ওপেন-সোর্স সংস্করণ দ্বারা অনুপ্রাণিত হয়েছিল যা Github-এ উপলব্ধ, যেমন উল্লেখ করা হয়েছে চেক পয়েন্ট.
বিতরণ
এই দূষিত অ্যান্ড্রয়েড অ্যাপ্লিকেশনটি একটি জাল ওয়েবসাইটের মাধ্যমে বিতরণ করা হয়েছে একটি বৈধ সাইটের অনুকরণ করে যা ইংরেজি থেকে ফার্সি ভাষায় অনুবাদ করা নিবন্ধ এবং বই সরবরাহ করে (downloadmaghaleh.com) বৈধ ওয়েবসাইট থেকে যোগাযোগের তথ্যের উপর ভিত্তি করে, তারা ইরান থেকে এই পরিষেবাটি প্রদান করে, যা আমাদের উচ্চ আত্মবিশ্বাসের সাথে বিশ্বাস করতে পরিচালিত করে যে কপিক্যাট ওয়েবসাইটটি ইরানী নাগরিকদের লক্ষ্য করে। কপিক্যাটের উদ্দেশ্য হল একটি বোতামে ক্লিক করার পরে ডাউনলোডের জন্য একটি অ্যান্ড্রয়েড অ্যাপ অফার করা যা ফার্সি ভাষায় বলে, "অ্যাপ্লিকেশনটি ডাউনলোড করুন"। বোতামটিতে গুগল প্লে লোগো থাকলেও এই অ্যাপটি রয়েছে না গুগল প্লে স্টোর থেকে উপলব্ধ; এটি আক্রমণকারীর সার্ভার থেকে সরাসরি ডাউনলোড করা হয়। অ্যাপটি VirusTotal-এ আপলোড করা হয়েছিল যেখানে এটি আমাদের YARA নিয়মগুলির মধ্যে একটিকে ট্রিগার করেছে।
চিত্র 1-এ আপনি জাল এবং বৈধ ওয়েবসাইটের তুলনা দেখতে পারেন।
চিত্র 1. জাল ওয়েবসাইট (বাম) বনাম বৈধ ওয়েবসাইট (ডান)
উপর ভিত্তি করে সর্বশেষ পরিবর্তিত নকল ওয়েবসাইটে APK ডাউনলোডের খোলা ডিরেক্টরিতে পাওয়া তথ্য (চিত্র 2 দেখুন), আমরা অনুমান করতে পারি যে এই অ্যাপটি অন্তত 21 জুন থেকে ডাউনলোডের জন্য উপলব্ধst, 2021.
বিশ্লেষণ
এই নমুনাটি সম্পূর্ণরূপে ম্যালওয়্যার কাজ করছে না, যদিও সমস্ত স্পাইওয়্যার কার্যকারিতা এটির পূর্ববর্তী সংস্করণগুলির মতো প্রয়োগ করা হয়েছে৷ যদিও এর সমস্ত স্পাইওয়্যার কার্যকারিতা কার্যকর করা যায় না, কারণ অ্যাপটি এর সংজ্ঞায়িত অনুমতি দ্বারা সীমাবদ্ধ Andro আইডি. যদি হুমকি অভিনেতা অ্যাপের অনুমতিগুলি প্রসারিত করে, তবে এটি বহিষ্কার করতেও সক্ষম হবে:
- ক্লিপবোর্ড থেকে পাঠ্য,
- ডিভাইসের অবস্থান,
- এসএমএস বার্তা,
- পরিচিতি,
- কল লগ,
- রেকর্ড করা ফোন কল,
- অন্যান্য অ্যাপ থেকে সমস্ত বিজ্ঞপ্তির পাঠ্য,
- ডিভাইস অ্যাকাউন্ট,
- ডিভাইসে ফাইলের তালিকা,
- চলমান অ্যাপ্লিকেশন,
- ইনস্টল করা অ্যাপের তালিকা এবং
- ডিভাইস সম্পর্কিত তথ্য.
এটি C&C সার্ভারে ফলাফল আপলোড করার সাথে ফটো তোলা এবং ভিডিও রেকর্ড করার জন্য কমান্ডও পেতে পারে। কপিক্যাট ওয়েবসাইট থেকে ডাউনলোড করা Furball ভেরিয়েন্ট এখনও তার C&C থেকে কমান্ড পেতে পারে; যাইহোক, এটি শুধুমাত্র এই ফাংশনগুলি সম্পাদন করতে পারে:
- যোগাযোগের তালিকা বহিস্কার করা,
- এক্সটার্নাল স্টোরেজ থেকে অ্যাক্সেসযোগ্য ফাইল পান,
- ইনস্টল করা অ্যাপের তালিকা,
- ডিভাইস সম্পর্কে প্রাথমিক তথ্য প্রাপ্ত, এবং
- ডিভাইস অ্যাকাউন্ট পান (ডিভাইসের সাথে সিঙ্ক করা ব্যবহারকারী অ্যাকাউন্টের তালিকা)।
চিত্র 3 অনুমতির অনুরোধগুলি দেখায় যা ব্যবহারকারীর দ্বারা গ্রহণ করা প্রয়োজন৷ এই অনুমতিগুলি একটি স্পাইওয়্যার অ্যাপ হওয়ার ছাপ তৈরি নাও করতে পারে, বিশেষ করে এটি একটি অনুবাদ অ্যাপ হিসেবে দেখানো হয়েছে।
চিত্র 3. অনুরোধ করা অনুমতিগুলির তালিকা
ইনস্টলেশনের পর, Furball প্রতি 10 সেকেন্ডে তার C&C সার্ভারের কাছে একটি HTTP অনুরোধ করে, কমান্ড চালানোর জন্য অনুরোধ করে, যেমনটি চিত্র 4-এর উপরের প্যানেলে দেখা যায়। নীচের প্যানেলে "এই মুহূর্তে কিছু করার নেই" প্রতিক্রিয়া দেখানো হয়েছে C&C সার্ভার।
চিত্র 4. C&C সার্ভারের সাথে যোগাযোগ
এই সাম্প্রতিক নমুনাগুলিতে কোনও নতুন বৈশিষ্ট্য প্রয়োগ করা হয়নি, কোডটিতে সহজ অস্পষ্টতা প্রয়োগ করা হয়েছে। ক্লাসের নাম, পদ্ধতির নাম, কিছু স্ট্রিং, লগ এবং সার্ভার ইউআরআই পাথগুলিতে অস্পষ্টতা দেখা যেতে পারে (যার ব্যাকএন্ডে ছোট পরিবর্তনও প্রয়োজন হবে)। চিত্র 5 পুরানো Furball সংস্করণ এবং নতুন সংস্করণের ক্লাসের নামগুলিকে অস্পষ্টতার সাথে তুলনা করে।
চিত্র 5. পুরানো সংস্করণ (বাম) এবং নতুন সংস্করণ (ডান) এর শ্রেণীর নামের তুলনা
চিত্র 6 এবং চিত্র 7 আগেরটি প্রদর্শন করে পাঠান পোস্ট এবং নতুন sndPst ফাংশন, এই অস্পষ্টতার প্রয়োজনীয় পরিবর্তনগুলি হাইলাইট করে।
চিত্র 6. কোডের পুরানো অ-অস্পষ্ট সংস্করণ
চিত্র 7. সর্বশেষ কোড অস্পষ্টতা
এই প্রাথমিক পরিবর্তনগুলি, এই সাধারণ অস্পষ্টতার কারণে, VirusTotal-এ কম সনাক্তকরণের ফলে। আমরা দ্বারা আবিষ্কৃত নমুনা সনাক্তকরণ হার তুলনা চেক পয়েন্ট ফেব্রুয়ারী 2021 থেকে (চিত্র 8) জুন 2021 থেকে উপলব্ধ অস্পষ্ট সংস্করণ সহ (চিত্র 9)।
চিত্র 8. 28/64 ইঞ্জিন দ্বারা সনাক্ত করা ম্যালওয়্যারের অ-অস্পষ্ট সংস্করণ
চিত্র 9. ভাইরাসটোটালে প্রথম আপলোড করার সময় 4/63 ইঞ্জিন দ্বারা শনাক্ত করা ম্যালওয়ারের অস্পষ্ট সংস্করণ
উপসংহার
ডোমেস্টিক কিটেন ক্যাম্পেইন এখনও সক্রিয়, ইরানি নাগরিকদের টার্গেট করার জন্য কপিক্যাট ওয়েবসাইট ব্যবহার করে। উপরে বর্ণিত হিসাবে, পূর্ণ বৈশিষ্ট্যযুক্ত অ্যান্ড্রয়েড স্পাইওয়্যার একটি হালকা বৈকল্পিক বিতরণ থেকে অপারেটরের লক্ষ্য সামান্য পরিবর্তিত হয়েছে। এটি শুধুমাত্র একটি অনুপ্রবেশকারী অনুমতির অনুরোধ করে - পরিচিতিগুলি অ্যাক্সেস করার জন্য - সম্ভবত রাডারের অধীনে থাকতে পারে এবং ইনস্টলেশন প্রক্রিয়া চলাকালীন সম্ভাব্য শিকারদের সন্দেহকে আকৃষ্ট করতে না পারে। এটি পরিচিতি সংগ্রহের প্রথম পর্যায় হতে পারে যা পাঠ্য বার্তাগুলির মাধ্যমে স্পিয়ারফিশিং দ্বারা অনুসরণ করা যেতে পারে।
এর সক্রিয় অ্যাপ কার্যকারিতা হ্রাস করার পাশাপাশি, ম্যালওয়্যার লেখকরা মোবাইল সুরক্ষা সফ্টওয়্যার থেকে তাদের উদ্দেশ্যগুলি আড়াল করার জন্য একটি সাধারণ কোড অস্পষ্টকরণ স্কিম প্রয়োগ করে সনাক্তকরণের সংখ্যা হ্রাস করার চেষ্টা করেছিল।
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিডও অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.
আইওসি
| রয়েছে SHA-1 | প্যাকেজ নাম | ESET সনাক্তকরণের নাম | বিবরণ |
|---|---|---|---|
| BF482E86D512DA46126F0E61733BCA4352620176 | com.getdoc.freepaaper.dissertation | Android/Spy.Agent.BWS | ম্যালওয়্যার ছদ্মবেশ ধারণ করা سرای নিবন্ধ (অনুবাদ: আর্টিকেল হাউস) অ্যাপ। |
মিটার ATT এবং CK কৌশল
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 10 সংস্করণ ATT&CK ফ্রেমওয়ার্কের।
| যুদ্ধকৌশল | ID | নাম | বিবরণ |
|---|---|---|---|
| প্রাথমিক অ্যাক্সেস | T1476 | অন্যান্য উপায়ে ক্ষতিকারক অ্যাপ সরবরাহ করুন | FurBall নকল Google Play বোতামের পিছনে সরাসরি ডাউনলোড লিঙ্কের মাধ্যমে বিতরণ করা হয়। |
| T1444 | বৈধ আবেদন হিসাবে মাশকারেড | Copycat ওয়েবসাইট FurBall ডাউনলোড করার লিঙ্ক প্রদান করে। | |
| অধ্যবসায় | T1402 | ব্রডকাস্ট রিসিভারস | FurBall পায় BOOT_COMPLETED ডিভাইস স্টার্টআপে সক্রিয় করার জন্য সম্প্রচারের অভিপ্রায়। |
| আবিষ্কার | T1418 | অ্যাপ্লিকেশন আবিষ্কার | FurBall ইনস্টল করা অ্যাপ্লিকেশনগুলির একটি তালিকা পেতে পারে। |
| T1426 | সিস্টেম তথ্য আবিষ্কার | FurBall ডিভাইসের ধরন, OS সংস্করণ এবং অনন্য আইডি সহ ডিভাইস সম্পর্কে তথ্য বের করতে পারে। | |
| সংগ্রহ | T1432 | যোগাযোগের তালিকা অ্যাক্সেস করুন | FurBall শিকারের যোগাযোগের তালিকা বের করতে পারে। |
| T1533 | স্থানীয় সিস্টেম থেকে ডেটা | FurBall বহিরাগত স্টোরেজ থেকে অ্যাক্সেসযোগ্য ফাইলগুলি বের করতে পারে। | |
| কমান্ড এবং কন্ট্রোল | T1436 | সাধারণত ব্যবহৃত পোর্ট | FurBall HTTP প্রোটোকল ব্যবহার করে C&C সার্ভারের সাথে যোগাযোগ করে। |
| বহিষ্কার | T1437 | স্ট্যান্ডার্ড অ্যাপ্লিকেশন লেয়ার প্রোটোকল | FurBall স্ট্যান্ডার্ড HTTP প্রোটোকলের মাধ্যমে সংগৃহীত ডেটা এক্সফিলট্রেট করে। |
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ESET গবেষণা
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- আমরা নিরাপত্তা লাইভ
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
