একটি উদীয়মান সাইবার-গুপ্তচরবৃত্তির হুমকি গোষ্ঠী মধ্যপ্রাচ্য এবং আফ্রিকায় লক্ষ্যবস্তুতে আঘাত করছে একটি অভিনব ব্যাকডোর ডাব "স্টেগম্যাপ", যা খুব কমই দেখা যায় এমন ব্যবহার করে স্টেগনোগ্রাফি একটি হোস্ট করা ছবিতে দূষিত কোড লুকানোর কৌশল।
সাম্প্রতিক আক্রমণগুলি দেখায় - উইচেটি নামে পরিচিত, ওরফে লুকিংফ্রোগ - এর টুল সেটকে শক্তিশালী করে, অত্যাধুনিক ফাঁকি দেওয়ার কৌশল যোগ করে এবং মাইক্রোসফ্ট এক্সচেঞ্জের পরিচিত দুর্বলতাগুলিকে কাজে লাগায় প্রক্সিশেল এবং প্রক্সিলগন. Symantec Threat Hunter-এর গবেষকরা পর্যবেক্ষণ করেছেন যে গ্রুপটি পাবলিক-ফেসিং সার্ভারে ওয়েবশেল ইনস্টল করছে, শংসাপত্র চুরি করছে এবং তারপর ম্যালওয়্যার প্রচারের জন্য নেটওয়ার্ক জুড়ে ছড়িয়ে পড়ছে, তারা প্রকাশ করেছে একটি ব্লগ পোস্টে 29 সেপ্টেম্বর প্রকাশিত।
ফেব্রুয়ারী এবং সেপ্টেম্বরের মধ্যে আক্রমণে, উইচেটি দুটি মধ্যপ্রাচ্যের দেশগুলির সরকার এবং একটি আফ্রিকান দেশের স্টক এক্সচেঞ্জকে লক্ষ্যবস্তু করেছিল যে আক্রমণগুলিতে পূর্বোক্ত ভেক্টর ব্যবহার করেছিল, তারা বলেছিল।
ProxyShell তিনটি পরিচিত এবং প্যাচ করা ত্রুটির সমন্বয়ে গঠিত — জন্য CVE-2021-34473, জন্য CVE-2021-34523, এবং জন্য CVE-2021-31207 — যখন প্রক্সিলগন দুটি নিয়ে গঠিত, জন্য CVE-2021-26855 এবং জন্য CVE-2021-27065. উভয়ই হুমকি অভিনেতাদের দ্বারা ব্যাপকভাবে শোষিত হয়েছে, যেহেতু তারা যথাক্রমে আগস্ট 2021 এবং ডিসেম্বর 2020-এ প্রথম প্রকাশিত হয়েছিল - আক্রমণগুলি অব্যাহত থাকে কারণ অনেকগুলি এক্সচেঞ্জ সার্ভার আনপ্যাচ রয়ে গেছে।
উইচেট্টির সাম্প্রতিক কার্যকলাপ আরও দেখায় যে গ্রুপটি তার অস্ত্রাগারে একটি নতুন ব্যাকডোর যুক্ত করেছে, যার নাম স্টেগম্যাপ, যেটি স্টেগ্যানোগ্রাফি ব্যবহার করে - একটি গোপন কৌশল যা সনাক্তকরণ এড়াতে একটি চিত্রে পেলোডকে আটকে রাখে।
স্টেগম্যাপ ব্যাকডোর কিভাবে কাজ করে
তার সাম্প্রতিক আক্রমণগুলিতে, উইচেটি তার বিদ্যমান সরঞ্জামগুলি ব্যবহার করা অব্যাহত রেখেছিল, তবে তার অস্ত্রাগার বের করার জন্য স্টেগম্যাপও যুক্ত করেছিল, গবেষকরা বলেছেন। ব্যাকডোর স্টেগ্যানোগ্রাফি ব্যবহার করে একটি বিটম্যাপ ইমেজ থেকে তার পেলোড বের করতে, এই কৌশলটি ব্যবহার করে "আপাতদৃষ্টিতে নিরীহ-সুদর্শন ইমেজ ফাইলগুলিতে দূষিত কোড ছদ্মবেশ ধারণ করতে," তারা বলে।
টুলটি একটি বিটম্যাপ ফাইল ডাউনলোড করতে একটি DLL লোডার ব্যবহার করে যা একটি GitHub সংগ্রহস্থল থেকে একটি পুরানো Microsoft Windows লোগো বলে মনে হয়। "তবে, পেলোড ফাইলের মধ্যে লুকানো আছে এবং একটি XOR কী দিয়ে ডিক্রিপ্ট করা হয়েছে," গবেষকরা তাদের পোস্টে বলেছেন।
পেলোডটিকে এইভাবে ছদ্মবেশ ধারণ করে, আক্রমণকারীরা এটিকে একটি বিনামূল্যের, বিশ্বস্ত পরিষেবাতে হোস্ট করতে পারে যা আক্রমণকারী-নিয়ন্ত্রিত কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের তুলনায় লাল পতাকা তোলার সম্ভাবনা অনেক কম, তারা উল্লেখ করেছে।
ব্যাকডোর, একবার ডাউনলোড হয়ে গেলে, সাধারণ ব্যাকডোর জিনিসগুলি করতে যায়, যেমন ডিরেক্টরিগুলি সরানো; কপি করা, সরানো, এবং ফাইল মুছে ফেলা; নতুন প্রক্রিয়া শুরু করা বা বিদ্যমানগুলিকে হত্যা করা; রেজিস্ট্রি কী পড়া, তৈরি করা বা মুছে ফেলা বা কী মান নির্ধারণ করা; এবং স্থানীয় ফাইল চুরি।
স্টেগম্যাপ ছাড়াও, উইচেটি আরও তিনটি কাস্টম টুল যুক্ত করেছে - কমান্ড-এন্ড-কন্ট্রোল (C2) এর সাথে সংযোগ করার জন্য একটি প্রক্সি ইউটিলিটি, একটি পোর্ট স্ক্যানার এবং একটি অধ্যবসায় ইউটিলিটি - এর কম্পনে, গবেষকরা বলেছেন।
ইভলভিং থ্রেট গ্রুপ
জাদুকর প্রথম ESET এ গবেষকদের দৃষ্টি আকর্ষণ করেছে এপ্রিলে. তারা এই গোষ্ঠীটিকে TA410-এর তিনটি উপগোষ্ঠীর মধ্যে একটি হিসাবে চিহ্নিত করেছে, একটি বিস্তৃত সাইবার-গুপ্তচরবৃত্তি অপারেশন যার সাথে সিকাডা গ্রুপের (ওরফে APT10) কিছু লিঙ্ক রয়েছে যা সাধারণত মার্কিন-ভিত্তিক ইউটিলিটিগুলির পাশাপাশি মধ্যপ্রাচ্য এবং আফ্রিকার কূটনৈতিক সংস্থাগুলিকে লক্ষ্য করে, গবেষকরা। বলেছেন TA410-এর অন্যান্য সাবগ্রুপ, যেমন ESET দ্বারা ট্র্যাক করা হয়েছে, হল FlowingFrog এবং JollyFrog।
প্রাথমিক ক্রিয়াকলাপে, উইচেটি সরকার, কূটনৈতিক মিশন, দাতব্য সংস্থা এবং শিল্প/উৎপাদন সংস্থাগুলিকে টার্গেট করার জন্য দুটি টুকরো ম্যালওয়্যার ব্যবহার করেছিল — একটি প্রথম-পর্যায়ের ব্যাকডোর যা X4 নামে পরিচিত এবং একটি দ্বিতীয় পর্যায়ের পেলোড যা লুকব্যাক নামে পরিচিত।
সামগ্রিকভাবে, সাম্প্রতিক আক্রমণগুলি দেখায় যে গোষ্ঠীটি একটি শক্তিশালী এবং বুদ্ধিমান হুমকি হিসাবে আবির্ভূত হচ্ছে যা "আগ্রহের লক্ষ্যগুলি" নেওয়ার জন্য এন্টারপ্রাইজ দুর্বল স্পটগুলির জ্ঞানকে তার নিজস্ব কাস্টম টুল ডেভেলপমেন্টের সাথে একত্রিত করে।
"জনসাধারণের মুখোমুখি সার্ভারগুলিতে দুর্বলতার শোষণ এটিকে সংস্থাগুলির মধ্যে একটি রুট সরবরাহ করে, যখন কাস্টম সরঞ্জামগুলি জীবিত-অফ-দ্য-ল্যান্ড কৌশলগুলির পারদর্শী ব্যবহারের সাথে যুক্ত করে এটি লক্ষ্যযুক্ত সংস্থায় দীর্ঘমেয়াদী, অবিরাম উপস্থিতি বজায় রাখার অনুমতি দেয়," তারা পোস্টে লিখেছেন।
সরকারি সংস্থার বিরুদ্ধে নির্দিষ্ট আক্রমণের বিবরণ
মধ্যপ্রাচ্যের একটি সরকারী সংস্থার উপর হামলার সুনির্দিষ্ট বিবরণ থেকে জানা যায় যে উইচেটি সাত মাস ধরে অধ্যবসায় বজায় রেখেছে এবং ইচ্ছামত দূষিত কার্যকলাপ সম্পাদন করার জন্য শিকারের পরিবেশের মধ্যে এবং বাইরে ডুব দিয়েছে।
27 ফেব্রুয়ারীতে আক্রমণটি শুরু হয়েছিল, যখন গ্রুপটি স্থানীয় নিরাপত্তা কর্তৃপক্ষ সাবসিস্টেম সার্ভিস (LSASS) প্রক্রিয়ার মেমরি ডাম্প করার জন্য প্রক্সিশেলের দুর্বলতাকে কাজে লাগিয়েছিল - যা উইন্ডোজে সিস্টেমে নিরাপত্তা নীতি প্রয়োগ করার জন্য দায়ী - এবং তারপরে সেখান থেকে অব্যাহত ছিল। .
পরবর্তী ছয় মাস ধরে গ্রুপটি প্রক্রিয়াগুলি ডাম্প করতে থাকে; নেটওয়ার্ক জুড়ে পার্শ্ববর্তী স্থানান্তরিত; ওয়েবশেল ইনস্টল করার জন্য ProxyShell এবং ProxyLogon উভয়ই ব্যবহার করা হয়েছে; লুকব্যাক ব্যাকডোর ইনস্টল করা হয়েছে; একটি PowerShell স্ক্রিপ্ট চালানো হয়েছে যা একটি নির্দিষ্ট সার্ভারে শেষ লগইন অ্যাকাউন্টগুলি আউটপুট করতে পারে; এবং C2 সার্ভার থেকে দূষিত কোড চালানোর চেষ্টা করেছে।
আক্রমণের সর্বশেষ কার্যকলাপ যা গবেষকরা পর্যবেক্ষণ করেছিলেন তা ঘটেছিল 1 সেপ্টেম্বর, যখন উইচেটি রিমোট ফাইলগুলি ডাউনলোড করেছিল; একটি ডিপ্লয়মেন্ট টুল দিয়ে একটি জিপ ফাইল ডিকম্প্রেস করা; এবং এর C2 সার্ভারের সাথে যোগাযোগ করার জন্য রিমোট পাওয়ারশেল স্ক্রিপ্টের পাশাপাশি এটির কাস্টম প্রক্সি টুল কার্যকর করেছে, তারা বলেছে।
