ইএসইটি রিসার্চ জনপ্রিয় চীনা সফ্টওয়্যার আপডেটের মাধ্যমে ম্যালওয়্যার সরবরাহ করে চীনের একটি আন্তর্জাতিক এনজিওকে লক্ষ্য করে ইভাসিভ পান্ডা নামে পরিচিত APT গ্রুপের একটি প্রচারণা উন্মোচন করেছে
ESET গবেষকরা একটি প্রচারাভিযান আবিষ্কার করেছেন যা আমরা Evasive Panda নামে পরিচিত APT গোষ্ঠীকে দায়ী করি, যেখানে বৈধ অ্যাপ্লিকেশনের আপডেট চ্যানেলগুলি রহস্যজনকভাবে MgBot ম্যালওয়্যার, ইভ্যাসিভ পান্ডা-এর ফ্ল্যাগশিপ ব্যাকডোর ইনস্টলার সরবরাহ করতে হাইজ্যাক করা হয়েছিল৷
- চীনের মূল ভূখণ্ডের ব্যবহারকারীরা চীনা কোম্পানিগুলির দ্বারা তৈরি সফ্টওয়্যারের আপডেটের মাধ্যমে ম্যালওয়্যার সরবরাহ করে লক্ষ্যবস্তুতে পরিণত হয়েছিল৷
- লক্ষ্যযুক্ত ব্যবহারকারীদের কাছে ম্যালওয়্যার কীভাবে বিতরণ করা যেতে পারে তার প্রতিযোগী অনুমানগুলি আমরা বিশ্লেষণ করি।
- উচ্চ আত্মবিশ্বাসের সাথে আমরা ইভাসিভ পান্ডা এপিটি গ্রুপকে এই কার্যকলাপের জন্য দায়ী করি।
- আমরা Evasive Panda-এর সিগনেচার ব্যাকডোর MgBot এবং এর প্লাগইন মডিউলের টুলকিটের একটি ওভারভিউ প্রদান করি।
এভাসিভ পান্ডা প্রোফাইল
এভাসিভ পান্ডা (এই নামেও পরিচিত ব্রোঞ্জ হাইল্যান্ড এবং ড্যাগারফ্লাই) একটি চীনা-ভাষী APT গ্রুপ, অন্তত 2012 সাল থেকে সক্রিয়. ESET গবেষণা পর্যবেক্ষণ করেছে যে গ্রুপটি মূল ভূখণ্ডের চীন, হংকং, ম্যাকাও এবং নাইজেরিয়ায় ব্যক্তিদের বিরুদ্ধে সাইবার গুপ্তচরবৃত্তি পরিচালনা করছে। চীন, ম্যাকাও, এবং দক্ষিণ-পূর্ব এবং পূর্ব এশিয়ার দেশগুলিতে, বিশেষ করে মিয়ানমার, ফিলিপাইন, তাইওয়ান এবং ভিয়েতনামে সরকারি সংস্থাগুলিকে লক্ষ্যবস্তু করা হয়েছিল, অন্যদিকে চীন এবং হংকং-এর অন্যান্য সংস্থাগুলিকেও লক্ষ্যবস্তু করা হয়েছিল৷ জনসাধারণের প্রতিবেদন অনুসারে, গ্রুপটি হংকং, ভারত এবং মালয়েশিয়ার অজানা সংস্থাগুলিকেও লক্ষ্যবস্তু করেছে।
গ্রুপটি একটি মডুলার আর্কিটেকচারের সাথে নিজস্ব কাস্টম ম্যালওয়্যার ফ্রেমওয়ার্ক প্রয়োগ করে যা এর ব্যাকডোর, যা MgBot নামে পরিচিত, মডিউলগুলিকে তার শিকারদের উপর গুপ্তচরবৃত্তি করতে এবং এর ক্ষমতা বাড়াতে দেয়।
প্রচারাভিযান ওভারভিউ
জানুয়ারী 2022-এ, আমরা আবিষ্কার করেছি যে আপডেটগুলি সম্পাদন করার সময়, একটি বৈধ চীনা অ্যাপ্লিকেশন ইভাসিভ পান্ডা MgBot ব্যাকডোরের জন্য একটি ইনস্টলার পেয়েছে। আমাদের তদন্তের সময়, আমরা আবিষ্কার করেছি যে ক্ষতিকারক কার্যকলাপটি 2020-এ ফিরে গেছে।
চীনা ব্যবহারকারীরা এই দূষিত কার্যকলাপের কেন্দ্রবিন্দু ছিল, যা ESET টেলিমেট্রি দেখায় 2020 সালে শুরু হয় এবং 2021 জুড়ে চলতে থাকে। লক্ষ্যযুক্ত ব্যবহারকারীরা গানসু, গুয়াংডং এবং জিয়াংসু প্রদেশে অবস্থিত ছিল, যেমন চিত্র 1 এ দেখানো হয়েছে।
চীনা আক্রান্তদের বেশিরভাগই একটি আন্তর্জাতিক এনজিওর সদস্য যারা পূর্বে উল্লেখিত দুটি প্রদেশে কাজ করে।
একজন অতিরিক্ত শিকার নাইজেরিয়া দেশে অবস্থিত বলেও আবিষ্কৃত হয়েছে।
আরোপণ
Evasive Panda MgBot নামে পরিচিত একটি কাস্টম ব্যাকডোর ব্যবহার করে, যা ছিল সর্বজনীনভাবে নথিভুক্ত 2014 সালে এবং তারপর থেকে সামান্য বিবর্তন দেখা যায়; আমাদের জানামতে, ব্যাকডোরটি অন্য কোনো গ্রুপ ব্যবহার করেনি। দূষিত কার্যকলাপের এই ক্লাস্টারে, শুধুমাত্র MgBot ম্যালওয়্যারটি তার প্লাগইনগুলির টুলকিট সহ ক্ষতিগ্রস্ত মেশিনে স্থাপন করা হয়েছে। অতএব, উচ্চ আত্মবিশ্বাসের সাথে আমরা এই ক্রিয়াকলাপটিকে এভাসিভ পান্ডাকে দায়ী করি।
প্রযুক্তিগত বিশ্লেষণ
আমাদের তদন্তের সময়, আমরা আবিষ্কার করেছি যে স্বয়ংক্রিয় আপডেটগুলি সম্পাদন করার সময়, একটি বৈধ অ্যাপ্লিকেশন সফ্টওয়্যার উপাদান বৈধ URL এবং IP ঠিকানাগুলি থেকে MgBot ব্যাকডোর ইনস্টলারদের ডাউনলোড করে।
সারণি 1-এ, আমরা ইউআরএল সরবরাহ করি যেখান থেকে ডাউনলোডটি শুরু হয়েছিল, ESET টেলিমেট্রি ডেটা অনুসারে, সার্ভারের আইপি ঠিকানাগুলি সহ, ব্যবহারকারীর সিস্টেমের সময়ে সমাধান করা হয়েছে; অতএব, আমরা বিশ্বাস করি যে এই আইপি ঠিকানাগুলি বৈধ। প্যাসিভ ডিএনএস রেকর্ড অনুসারে, এই সমস্ত আইপি ঠিকানাগুলি পর্যবেক্ষণ করা ডোমেনের সাথে মেলে, তাই আমরা বিশ্বাস করি যে এই আইপি ঠিকানাগুলি বৈধ৷
সারণী 1. ইএসইটি টেলিমেট্রি অনুযায়ী ক্ষতিকারক ডাউনলোড অবস্থান
URL টি | প্রথম দেখা | ডোমেইন আইপি | Asn | ডাউনলোডার |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11‑02 | 123.151.72[।]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[।]107 | AS56040 | |||
61.129.7[।]35 | AS4811 |
সমঝোতার অনুমান
আক্রমণকারীরা বৈধ আপডেটের মাধ্যমে কীভাবে ম্যালওয়্যার সরবরাহ করতে পেরেছিল তা ব্যাখ্যা করতে পারে এমন বেশ কয়েকটি পদ্ধতির সম্ভাবনা বিশ্লেষণ করার সময়, আমাদের কাছে দুটি পরিস্থিতি বাকি ছিল: সরবরাহ-চেইন আপস, এবং প্রতিপক্ষ-ইন-দ্য-মিডল আক্রমণ। উভয় পরিস্থিতির জন্য আমরা অন্যান্য চীনা-ভাষী APT গোষ্ঠীর দ্বারা অনুরূপ আক্রমণের পূর্ববর্তী ঘটনাগুলিও বিবেচনা করব।
Tencent QQ একটি জনপ্রিয় চীনা চ্যাট এবং সামাজিক মিডিয়া পরিষেবা। পরবর্তী বিভাগগুলিতে, আমরা Tencent QQ উইন্ডোজ ক্লায়েন্ট সফ্টওয়্যার আপডেটার ব্যবহার করব, QQUrlMgr.exe (সারণী 1 এ তালিকাভুক্ত), আমাদের উদাহরণের জন্য, এই নির্দিষ্ট উপাদান দ্বারা ডাউনলোড থেকে আমাদের সনাক্তকরণের সর্বোচ্চ সংখ্যা রয়েছে।
সাপ্লাই-চেইন আপস দৃশ্যকল্প
আক্রমণের লক্ষ্যবস্তু প্রকৃতির পরিপ্রেক্ষিতে, আমরা অনুমান করি যে আক্রমণকারীদের QQ আপডেট সার্ভারগুলির সাথে আপোষ করতে হবে যাতে লক্ষ্যবস্তু ব্যবহারকারীদের চিহ্নিত করার জন্য তাদের ম্যালওয়্যার সরবরাহ করতে, অ-লক্ষ্যযুক্ত ব্যবহারকারীদের ফিল্টার আউট করতে এবং তাদের বৈধ আপডেট সরবরাহ করার জন্য একটি পদ্ধতি চালু করতে হবে – আমরা নিবন্ধিত করেছি ক্ষেত্রে যেখানে বৈধ আপডেটগুলি একই অপব্যবহৃত প্রোটোকলের মাধ্যমে ডাউনলোড করা হয়েছিল।
যদিও একটি এভাসিভ পান্ডা কেস নয়, এই ধরনের আপসের একটি প্রধান উদাহরণ আমাদের প্রতিবেদনে রয়েছে অপারেশন নাইটস্কাউট: সাপ্লাই-চেইন আক্রমণ এশিয়ায় অনলাইন গেমিংকে লক্ষ্য করে, যেখানে আক্রমণকারীরা হংকং ভিত্তিক একটি সফ্টওয়্যার বিকাশকারী কোম্পানির আপডেট সার্ভারের সাথে আপস করেছে৷ আমাদের টেলিমেট্রি অনুসারে, 100,000 এরও বেশি ব্যবহারকারীর কাছে BigNox সফ্টওয়্যার ইনস্টল করা ছিল, কিন্তু মাত্র পাঁচজনের কাছে একটি আপডেটের মাধ্যমে ম্যালওয়্যার বিতরণ করা হয়েছিল৷ আমরা সন্দেহ করি যে আক্রমণকারীরা তাদের ম্যালওয়্যার হোস্ট করে এমন একটি সার্ভারের URL সহ লক্ষ্যযুক্ত ব্যবহারকারীদের মেশিনে আপডেটার উপাদানটির উত্তর দেওয়ার জন্য আপডেট সার্ভারে BigNox API এর সাথে আপস করেছে; অ-লক্ষ্যযুক্ত ব্যবহারকারীদের বৈধ আপডেট URL পাঠানো হয়েছিল।
সেই পূর্ববর্তী ঘটনার উপর ভিত্তি করে, চিত্র 2-এ আমরা আমাদের টেলিমেট্রির পর্যবেক্ষণ অনুসারে কীভাবে সাপ্লাই-চেইন সমঝোতার দৃশ্যটি উন্মোচিত হতে পারে তা ব্যাখ্যা করি। তবুও, আমাদের অবশ্যই পাঠককে সতর্ক করতে হবে যে এটি সম্পূর্ণরূপে অনুমান এবং আমাদের স্ট্যাটিক বিশ্লেষণের উপর ভিত্তি করে, খুব সীমিত তথ্য সহ QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
এটিও লক্ষণীয় যে আমাদের গবেষণার সময় আমরা কখনই XML "আপডেট" ডেটার একটি নমুনা পুনরুদ্ধার করতে সক্ষম হইনি - কোন বৈধ বা দূষিত XML নমুনা নয় - QQUrlMgr.exe. "আপডেট চেক" URL হার্ডকোড করা হয়েছে, অস্পষ্ট আকারে, এক্সিকিউটেবল, যেমন চিত্র 3-এ দেখানো হয়েছে।
অস্পষ্ট, সম্পূর্ণ আপডেট চেক URL হল:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
সার্ভারটি XML-ফরম্যাটেড ডেটা বেস64-এর সাথে এনকোড করা এবং 128-বিট কী ব্যবহার করে TEA অ্যালগরিদম বাস্তবায়নের সাথে এনক্রিপ্ট করা সহ সাড়া দেয়। এই ডেটাতে অন্যান্য তথ্য সহ একটি ফাইল ডাউনলোড এবং চালানোর নির্দেশাবলী রয়েছে। যেহেতু ডিক্রিপশন কীটিও হার্ডকোড করা হয়েছে, চিত্র 4 এ দেখানো হয়েছে, এটি আক্রমণকারীদের কাছে পরিচিত হতে পারে।
QQUrlMgr.exe তারপর HTTP এর মাধ্যমে এনক্রিপ্ট করা নির্দেশিত ফাইল ডাউনলোড করে এবং MD5 অ্যালগরিদম দিয়ে এর বিষয়বস্তু হ্যাশ করে। ফলাফলটি আপডেট চেক রেসপন্স এক্সএমএল ডেটাতে উপস্থিত একটি হ্যাশের বিপরীতে পরীক্ষা করা হয়, যেমন চিত্র 5-এ দেখা যায়। যদি হ্যাশগুলি মিলে যায়, QQUrlMgr.exe ডাউনলোড করা ফাইলটি চালায়। এটি আমাদের অনুমানকে শক্তিশালী করে যে আক্রমণকারীদের ম্যালওয়্যার ইনস্টলারের সঠিক MD5 হ্যাশ প্রদান করতে সক্ষম হওয়ার জন্য আপডেট সার্ভারে XML সার্ভার-সাইড মেকানিজম নিয়ন্ত্রণ করতে হবে।
আমরা বিশ্বাস করি যে এই দৃশ্যটি আমাদের পর্যবেক্ষণ ব্যাখ্যা করবে; যাইহোক, অনেক প্রশ্নের উত্তর পাওয়া যায় না। আমরা Tencent এর কাছে পৌঁছেছি নিরাপত্তা প্রতিক্রিয়া কেন্দ্র যেখান থেকে ম্যালওয়্যারটি ডাউনলোড করা হয়েছিল সেই সম্পূর্ণ URL-এর বৈধতা নিশ্চিত করতে; update.browser.qq[.]com - লেখার সময় - পৌঁছানো যায় না, কিন্তু টেনসেন্ট সম্পূর্ণ URLটি বৈধ কিনা তা নিশ্চিত করতে পারেনি।
প্রতিপক্ষ-মধ্যম দৃশ্যপট
2022-06-02 তারিখে, ক্যাসপারস্কি একটি প্রকাশ করেছে গবেষণা চীনা-ভাষী LuoYu APT গ্রুপ এবং তাদের WinDealer ম্যালওয়্যারের ক্ষমতা সম্পর্কে রিপোর্ট করুন। ইভাসিভ পান্ডা শিকারের এই ক্লাস্টারে আমরা যা পর্যবেক্ষণ করেছি তার অনুরূপ, তাদের গবেষকরা দেখেছেন যে, 2020 সাল থেকে, লুওইউ-এর শিকাররা বৈধ অ্যাপ্লিকেশন qgametool.exe-এর মাধ্যমে আপডেটের মাধ্যমে WinDealer ম্যালওয়্যার পেয়েছে। পিপিটিভি সফ্টওয়্যার, একটি চীনা কোম্পানি দ্বারা উন্নত.
WinDealer এর একটি বিস্ময়কর ক্ষমতা রয়েছে: একটি সফল সমঝোতার ক্ষেত্রে যোগাযোগ করার জন্য প্রতিষ্ঠিত C&C সার্ভারগুলির একটি তালিকা বহন করার পরিবর্তে, এটি র্যান্ডম আইপি ঠিকানা তৈরি করে 13.62.0.0/15 এবং 111.120.0.0/14 চায়না টেলিকম AS4134 থেকে রেঞ্জ। যদিও একটি ছোট কাকতালীয়, আমরা লক্ষ্য করেছি যে MgBot ম্যালওয়্যার প্রাপ্তির সময় লক্ষ্যযুক্ত চীনা ব্যবহারকারীদের আইপি ঠিকানাগুলি AS4134 এবং AS4135 আইপি ঠিকানাগুলির রেঞ্জে ছিল৷
এর C&C পরিকাঠামোর জন্য এই ক্ষমতাগুলিকে কী সক্ষম করে তার সম্ভাব্য ব্যাখ্যা হল যে LuoYu হয় সেই রেঞ্জের IP ঠিকানাগুলির সাথে যুক্ত প্রচুর পরিমাণে ডিভাইস নিয়ন্ত্রণ করে, অথবা তারা করতে সক্ষম মাঝখানে প্রতিপক্ষ (AitM) বা সেই নির্দিষ্ট AS এর পরিকাঠামোতে আক্রমণকারী-অন-দ্যা-সাইড ইন্টারসেপশন।
আক্রমণকারীরা - লুওইউ বা ইভাসিভ পান্ডা - রাউটার বা গেটওয়ের মতো দুর্বল ডিভাইসগুলির সাথে আপস করতে সক্ষম হলে বাধার AitM শৈলীগুলি সম্ভব হবে৷ একটি পূর্ববর্তী হিসাবে, 2019 সালে ESET গবেষকরা আবিষ্কার করেছেন ব্ল্যাকটেক নামে পরিচিত চীনা এপিটি গ্রুপ আপস করা ASUS রাউটারগুলির মাধ্যমে AitM আক্রমণ সম্পাদন করছিল এবং ASUS ওয়েবস্টোরেজ সফ্টওয়্যার আপডেটের মাধ্যমে প্লীড ম্যালওয়্যার সরবরাহ করছিল।
আইএসপি ব্যাকবোন অবকাঠামোতে অ্যাক্সেসের সাথে - আইনি বা অবৈধ উপায়ে - ইভ্যাসিভ পান্ডা HTTP এর মাধ্যমে সম্পাদিত আপডেট অনুরোধগুলিকে আটকাতে এবং উত্তর দিতে সক্ষম হবে, বা উড়ে গিয়ে প্যাকেটগুলিও সংশোধন করতে পারবে৷ এপ্রিল 2023 সালে, সিম্যানটেক গবেষকরা রিপোর্ট ইভাসিভ পান্ডা আফ্রিকার একটি টেলিকমিউনিকেশন সংস্থাকে লক্ষ্য করে।
শেষ করি
শেষ পর্যন্ত, আরও প্রমাণ ছাড়া, আমরা একটি অনুমানকে অন্যটির পক্ষে প্রমাণ বা বাতিল করতে পারি না, এই শর্তে যে এই ধরনের ক্ষমতাগুলি চীনা APT গোষ্ঠীগুলির কাছে রয়েছে।
টুলসেট
MgBot
MgBot হল প্রাথমিক উইন্ডোজ ব্যাকডোর যা ইভাসিভ পান্ডা দ্বারা ব্যবহৃত, যা আমাদের অনুসন্ধান অনুসারে কমপক্ষে 2012 সাল থেকে বিদ্যমান এবং এই ব্লগ পোস্টে উল্লিখিত হিসাবে, সর্বজনীনভাবে ছিল 2014 সালে VirusBulletin এ নথিভুক্ত করা হয়েছে. এটি একটি অবজেক্ট-ওরিয়েন্টেড ডিজাইনের সাথে C++ এ বিকশিত হয়েছে, এবং TCP এবং UDP এর মাধ্যমে যোগাযোগ করার এবং প্লাগইন মডিউলের মাধ্যমে এর কার্যকারিতা প্রসারিত করার ক্ষমতা রয়েছে।
MgBot এর ইনস্টলার এবং ব্যাকডোর, এবং তাদের কার্যকারিতা, প্রথম নথিভুক্ত হওয়ার পর থেকে উল্লেখযোগ্যভাবে পরিবর্তিত হয়নি। এর মৃত্যুদন্ডের শৃঙ্খল এটিতে বর্ণিত হিসাবে একই রিপোর্ট 2020 থেকে Malwarebytes দ্বারা।
MgBot প্লাগইন
MgBot এর মডুলার আর্কিটেকচার এটিকে আপস করা মেশিনে মডিউলগুলি গ্রহণ এবং স্থাপন করে এর কার্যকারিতা প্রসারিত করতে দেয়। সারণি 2 পরিচিত প্লাগইন এবং তাদের কার্যকারিতা তালিকাভুক্ত করে। এটি লক্ষ্য করা গুরুত্বপূর্ণ যে প্লাগইনগুলির অনন্য অভ্যন্তরীণ সনাক্তকরণ নম্বর নেই; তাই আমরা এখানে ডিস্কে তাদের DLL নাম দিয়ে তাদের চিহ্নিত করছি, যা আমরা কখনো পরিবর্তন দেখিনি।
সারণি 2. প্লাগইন DLL ফাইলের তালিকা
প্লাগইন DLL নাম | সংক্ষিপ্ত বিবরণ |
---|---|
Kstrcs.dll | Keylogger। এটি শুধুমাত্র সক্রিয়ভাবে কীস্ট্রোকগুলি লগ করে যখন ফোরগ্রাউন্ড উইন্ডোটি নামের একটি প্রক্রিয়ার অন্তর্গত হয় QQ.exe এবং উইন্ডো শিরোনাম মেলে QQEdit. এটি সম্ভবত লক্ষ্য Tencent QQ চ্যাট অ্যাপ্লিকেশন. |
sebasek.dll | ফাইল চুরিকারী। একটি কনফিগারেশন ফাইল রয়েছে যা বিভিন্ন উত্স থেকে ফাইল সংগ্রহ করতে সক্ষম করে: HDDs, USB থাম্ব ড্রাইভ এবং CD-ROM; পাশাপাশি ফাইলের বৈশিষ্ট্যের উপর ভিত্তি করে মানদণ্ড: ফাইলের নাম একটি পূর্বনির্ধারিত তালিকা থেকে একটি কীওয়ার্ড থাকা আবশ্যক, ফাইলের আকার অবশ্যই একটি সংজ্ঞায়িত সর্বনিম্ন এবং সর্বোচ্চ আকারের মধ্যে হতে হবে। |
Cbmrpa.dll | ক্লিপবোর্ডে কপি করা টেক্সট ক্যাপচার করে এবং USBSTOR রেজিস্ট্রি কী থেকে তথ্য লগ করে। |
pRsm.dll | ইনপুট এবং আউটপুট অডিও স্ট্রীম ক্যাপচার. |
mailLFPassword.dll | শংসাপত্র চুরিকারী। Outlook এবং Foxmail ইমেল ক্লায়েন্ট সফ্টওয়্যার থেকে শংসাপত্র চুরি করে। |
agentpwd.dll | শংসাপত্র চুরিকারী। অন্যদের মধ্যে Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla এবং WinSCP থেকে শংসাপত্র চুরি করে। |
qmsdp.dll | Tencent QQ ডাটাবেস থেকে বিষয়বস্তু চুরি করার জন্য ডিজাইন করা একটি জটিল প্লাগইন যা ব্যবহারকারীর বার্তা ইতিহাস সংরক্ষণ করে। এটি সফ্টওয়্যার উপাদানটির ইন-মেমরি প্যাচিং দ্বারা অর্জন করা হয় KernelUtils.dll এবং একটি জাল ড্রপ userenv.dll ডিএলএল। |
wcdbcrk.dll | Tencent WeChat-এর জন্য তথ্য চুরিকারী। |
Gmck.dll | ফায়ারফক্স, ক্রোম এবং এজের জন্য কুকি চুরিকারী। |
বেশিরভাগ প্লাগইনগুলি অত্যন্ত জনপ্রিয় চাইনিজ অ্যাপ্লিকেশন যেমন QQ, WeChat, QQBrowser, এবং Foxmail থেকে তথ্য চুরি করার জন্য ডিজাইন করা হয়েছে – এগুলির সবকটিই টেনসেন্ট দ্বারা তৈরি করা অ্যাপ্লিকেশন।
উপসংহার
আমরা একটি প্রচারাভিযান আবিষ্কার করেছি যা আমরা ইভাসিভ পান্ডা এপিটি গোষ্ঠীকে দায়ী করি, মূল ভূখণ্ডের চীনের ব্যবহারকারীদের লক্ষ্য করে, সুপরিচিত চীনা কোম্পানিগুলির অ্যাপ্লিকেশনগুলির আপডেট প্রোটোকলের মাধ্যমে তাদের MgBot ব্যাকডোর সরবরাহ করে৷ আমরা MgBot ব্যাকডোরের প্লাগইনগুলিও বিশ্লেষণ করেছি এবং দেখেছি যে তাদের বেশিরভাগই শংসাপত্র এবং তথ্য চুরি করে চীনা সফ্টওয়্যার ব্যবহারকারীদের উপর গুপ্তচরবৃত্তি করার জন্য ডিজাইন করা হয়েছে৷
আইওসি
নথি পত্র
রয়েছে SHA-1 | ফাইলের নাম | সনাক্তকরণ | বিবরণ |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot তথ্য চুরিকারী প্লাগইন। |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot ফাইল চুরিকারী প্লাগইন। |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot কীলগার প্লাগইন। |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot কুকি স্টিলার প্লাগইন। |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot তথ্য চুরিকারী প্লাগইন। |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot অডিও ক্যাপচার প্লাগইন। |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot ক্লিপবোর্ড টেক্সট ক্যাপচার প্লাগইন। |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBot শংসাপত্র চুরিকারী প্লাগইন। |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | MgBot শংসাপত্র চুরিকারী প্লাগইন। |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot ইনস্টলার। |
নেটওয়ার্ক
IP | প্রদানকারী | প্রথম দেখা | বিস্তারিত |
---|---|---|---|
122.10.88[।]226 | AS55933 ক্লাউডি লিমিটেড | 2020-07-09 | MgBot C&C সার্ভার। |
122.10.90[।]12 | AS55933 ক্লাউডি লিমিটেড | 2020-09-14 | MgBot C&C সার্ভার। |
মিটার ATT এবং CK কৌশল
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 12 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.
যুদ্ধকৌশল | ID | নাম | বিবরণ |
---|---|---|---|
রিসোর্স ডেভলপমেন্ট | T1583.004 | পরিকাঠামো অর্জন করুন: সার্ভার | Evasive Panda C&C পরিকাঠামোর জন্য ব্যবহার করার জন্য সার্ভার অধিগ্রহণ করেছে। |
T1587.001 | সক্ষমতা বিকাশ: ম্যালওয়্যার | ইভাসিভ পান্ডা তার কাস্টম MgBot ব্যাকডোর এবং অস্পষ্ট লোডার সহ প্লাগইন তৈরি করে। | |
ফাঁসি | T1059.003 | কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: উইন্ডোজ কমান্ড শেল | MgBot এর ইনস্টলার কমান্ডের সাহায্যে BAT ফাইল থেকে পরিষেবা চালু করে নেট শুরু AppMgmt |
T1106 | নেটিভ এপিআই | MgBot এর ইনস্টলার ব্যবহার করে CreateProcessInternalW চালানোর জন্য API rundll32.exe ব্যাকডোর DLL লোড করতে। | |
T1569.002 | সিস্টেম সার্ভিস: সার্ভিস এক্সিকিউশন | MgBot একটি উইন্ডোজ পরিষেবা হিসাবে কার্যকর করা হয়। | |
অধ্যবসায় | T1543.003 | সিস্টেম প্রক্রিয়া তৈরি বা পরিবর্তন করুন: উইন্ডোজ পরিষেবা | MgBot বিদ্যমান অ্যাপ্লিকেশন ম্যানেজমেন্ট সার্ভিস DLL-এর পাথকে তার নিজস্ব দিয়ে প্রতিস্থাপন করে। |
প্রিভিলেজ এসকেলেশন | T1548.002 | অপব্যবহার উচ্চতা নিয়ন্ত্রণ প্রক্রিয়া: বাইপাস ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ | MgBot UAC বাইপাস সম্পাদন করে। |
প্রতিরক্ষা ফাঁকি | T1140 | Deobfuscate/ডিকোড ফাইল বা তথ্য | MgBot এর ইনস্টলার একটি এমবেডেড CAB ফাইল ডিক্রিপ্ট করে যাতে ব্যাকডোর DLL রয়েছে। |
T1112 | রেজিস্ট্রি পরিবর্তন করুন | MgBot অধ্যবসায়ের জন্য রেজিস্ট্রি পরিবর্তন করে। | |
T1027 | অস্পষ্ট ফাইল বা তথ্য | MgBot এর ইনস্টলারটিতে এমবেডেড ম্যালওয়্যার ফাইল এবং এনক্রিপ্ট করা স্ট্রিং রয়েছে৷ MgBot-এ এনক্রিপ্ট করা স্ট্রিং রয়েছে। MgBot প্লাগইন এম্বেড করা DLL ফাইল ধারণ করে। | |
T1055.002 | প্রসেস ইনজেকশন: পোর্টেবল এক্সিকিউটেবল ইনজেকশন | MgBot দূরবর্তী প্রসেসে পোর্টেবল এক্সিকিউটেবল ফাইল ইনজেক্ট করতে পারে। | |
শংসাপত্র অ্যাক্সেস | T1555.003 | পাসওয়ার্ড স্টোর থেকে শংসাপত্র: ওয়েব ব্রাউজার থেকে শংসাপত্র | MgBot প্লাগইন মডিউল agentpwd.dll ওয়েব ব্রাউজার থেকে শংসাপত্র চুরি করে। |
T1539 | ওয়েব সেশন কুকি চুরি | MgBot প্লাগইন মডিউল Gmck.dll কুকিজ চুরি করে। | |
আবিষ্কার | T1082 | সিস্টেম তথ্য আবিষ্কার | MgBot সিস্টেম তথ্য সংগ্রহ করে। |
T1016 | সিস্টেম নেটওয়ার্ক কনফিগারেশন আবিষ্কার | MgBot নেটওয়ার্ক তথ্য পুনরুদ্ধার করার ক্ষমতা আছে. | |
T1083 | ফাইল এবং ডিরেক্টরি আবিষ্কার | MgBot ফাইল তালিকা তৈরি করার ক্ষমতা আছে. | |
সংগ্রহ | T1056.001 | ইনপুট ক্যাপচার: কীলগিং | MgBot প্লাগইন মডিউল kstrcs.dll একটি keylogger হয়. |
T1560.002 | সংগৃহীত তথ্য সংরক্ষণাগার: লাইব্রেরির মাধ্যমে সংরক্ষণাগার | MgBot এর প্লাগইন মডিউল sebasek.dll exfiltration জন্য মঞ্চস্থ ফাইল কম্প্রেস aPLib ব্যবহার করে. | |
T1123 | অডিও ক্যাপচার | MgBot এর প্লাগইন মডিউল pRsm.dll ইনপুট এবং আউটপুট অডিও স্ট্রীম ক্যাপচার. | |
T1119 | স্বয়ংক্রিয় সংগ্রহ | MgBot এর প্লাগইন মডিউল বিভিন্ন উৎস থেকে ডেটা ক্যাপচার করে। | |
T1115 | ক্লিপবোর্ড ডেটা | MgBot এর প্লাগইন মডিউল Cbmrpa.dll ক্লিপবোর্ডে অনুলিপি করা পাঠ্য ক্যাপচার করে। | |
T1025 | অপসারণযোগ্য মিডিয়া থেকে ডেটা | MgBot এর প্লাগইন মডিউল sebasek.dll অপসারণযোগ্য মিডিয়া থেকে ফাইল সংগ্রহ করে। | |
T1074.001 | ডেটা স্টেজড: স্থানীয় ডেটা স্টেজিং | MgBot এর প্লাগইন মডিউল ডিস্কে স্থানীয়ভাবে ডেটা স্টেজ করে। | |
T1114.001 | ইমেল সংগ্রহ: স্থানীয় ইমেল সংগ্রহ | MgBot এর প্লাগইন মডিউলগুলি বিভিন্ন অ্যাপ্লিকেশন থেকে শংসাপত্র এবং ইমেল তথ্য চুরি করার জন্য ডিজাইন করা হয়েছে। | |
T1113 | স্ক্রিন ক্যাপচার | MgBot স্ক্রিনশট ক্যাপচার করতে পারে। | |
কমান্ড এবং কন্ট্রোল | T1095 | নন-অ্যাপ্লিকেশন লেয়ার প্রোটোকল | MgBot তার C&C এর সাথে TCP এবং UDP প্রোটোকলের মাধ্যমে যোগাযোগ করে। |
বহিষ্কার | T1041 | C2 চ্যানেল ওভার এক্সফিল্ট্রেশন | MgBot C&C এর মাধ্যমে সংগৃহীত ডেটার এক্সফিল্ট্রেশন করে। |
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- উত্স: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : আছে
- : হয়
- :না
- :কোথায়
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- সক্ষম
- সম্পর্কে
- প্রবেশ
- অনুযায়ী
- হিসাব
- অর্জন
- অর্জিত
- সক্রিয়ভাবে
- কার্যকলাপ
- অতিরিক্ত
- ঠিকানাগুলি
- আফ্রিকা
- বিরুদ্ধে
- অ্যালগরিদম
- সব
- অনুমতি
- বরাবর
- এছাড়াও
- যদিও
- মধ্যে
- পরিমাণ
- an
- বিশ্লেষণ
- বিশ্লেষণ করা
- এবং
- কোন
- API
- আবেদন
- অ্যাপ্লিকেশন
- এপ্রিল
- APT
- স্থাপত্য
- সংরক্ষাণাগার
- রয়েছি
- AS
- এশিয়ান
- যুক্ত
- At
- আক্রমণ
- আক্রমন
- অডিও
- অটোমেটেড
- পিছনে
- দাঁড়া
- পিছনের দরজা
- ভিত্তি
- ব্যাট
- BE
- হয়েছে
- বিশ্বাস করা
- জন্যে
- সর্বোত্তম
- মধ্যে
- ব্লগ
- উভয়
- ব্রাউজার
- ব্রাউজার
- নির্মিত
- কিন্তু
- by
- সি ++
- ক্যাম্পেইন
- CAN
- না পারেন
- ক্ষমতা
- গ্রেপ্তার
- ক্যাচ
- বহন
- কেস
- মামলা
- চেন
- পরিবর্তন
- চ্যানেল
- চেক
- চেক করা হয়েছে
- চীন
- চীনা
- ক্রৌমিয়াম
- মক্কেল
- গুচ্ছ
- কোড
- সমাপতন, সমস্থানে অবস্থান
- সংগ্রহ
- যোগাযোগ
- কোম্পানি
- কোম্পানি
- প্রতিদ্বন্দ্বী
- সম্পূর্ণ
- জটিল
- উপাদান
- আপস
- সংকটাপন্ন
- আবহ
- বিশ্বাস
- কনফিগারেশন
- নিশ্চিত করা
- যোগাযোগ
- ধারণ করা
- ধারণ
- বিষয়বস্তু
- সুখী
- অব্যাহত
- নিয়ন্ত্রণ
- বিস্কুট
- পারা
- দেশ
- দেশ
- তৈরি করা হচ্ছে
- ক্রেডিটেনটিয়াল
- পরিচয়পত্র
- নির্ণায়ক
- প্রথা
- উপাত্ত
- ডেটাবেস
- সংজ্ঞায়িত
- প্রদান করা
- নিষ্কৃত
- প্রদান
- বিতরণ
- মোতায়েন
- মোতায়েন
- বর্ণিত
- নকশা
- পরিকল্পিত
- উন্নত
- বিকাশকারী
- বিকাশ
- ডিভাইস
- বিভিন্ন
- আবিষ্কৃত
- DNS
- do
- ডোমেইনের
- Dont
- ডাউনলোড
- ডাউনলোড
- বাতিল
- সময়
- পূর্ব
- প্রান্ত
- পারেন
- ইমেইল
- এম্বেড করা
- সম্ভব
- এনক্রিপ্ট করা
- উন্নত করা
- সত্ত্বা
- ESET গবেষণা
- প্রতিষ্ঠিত
- এমন কি
- প্রমান
- বিবর্তন
- উদাহরণ
- উদাহরণ
- এক্সিকিউট
- executes
- ফাঁসি
- বহিষ্কার
- বিদ্যমান
- ব্যাখ্যা করা
- প্রসারিত করা
- নকল
- আনুকূল্য
- ব্যক্তিত্ব
- ফাইল
- নথি পত্র
- ফিল্টারিং
- ফায়ারফক্স
- প্রথম
- পোত-নায়কের জাহাজ
- কেন্দ্রবিন্দু
- জন্য
- ফর্ম
- পাওয়া
- ফ্রেমওয়ার্ক
- থেকে
- সম্পূর্ণ
- কার্যকারিতা
- অধিকতর
- দূ্যত
- উত্পন্ন
- প্রদত্ত
- সরকার
- সরকারী সংস্থা
- গ্রুপ
- গ্রুপের
- গুয়াংডং
- ছিল
- হাত
- কাটা
- আছে
- এখানে
- উচ্চ
- সর্বোচ্চ
- অত্যন্ত
- ইতিহাস
- হংকং
- হংকং
- হোস্ট
- কিভাবে
- যাহোক
- HTTP
- HTTPS দ্বারা
- শনাক্ত
- সনাক্ত করা
- চিহ্নিতকরণের
- if
- অবৈধ
- বাস্তবায়ন
- সরঁজাম
- গুরুত্বপূর্ণ
- in
- সুদ্ধ
- ভারত
- জ্ঞাপিত
- ব্যক্তি
- তথ্য
- পরিকাঠামো
- ইনপুট
- ইনস্টল
- পরিবর্তে
- নির্দেশাবলী
- অভ্যন্তরীণ
- আন্তর্জাতিক
- মধ্যে
- প্রবর্তন করা
- তদন্ত
- IP
- আইপি ঠিকানা
- আইএসপি
- IT
- এর
- জানুয়ারী
- Kaspersky
- চাবি
- জ্ঞান
- পরিচিত
- কং
- বড়
- লঞ্চ
- স্তর
- আইনগত
- বৈধতা
- বৈধ
- সম্ভবত
- সীমিত
- তালিকা
- তালিকাভুক্ত
- তালিকা
- পাখি
- সামান্য
- বোঝা
- স্থানীয়
- স্থানীয়ভাবে
- অবস্থিত
- অবস্থানগুলি
- মেশিন
- মেশিন
- দেশের মূল অংশ
- সংখ্যাগুরু
- মালয়েশিয়া
- ম্যালওয়্যার
- Malwarebytes
- পরিচালিত
- ব্যবস্থাপনা
- অনেক
- মানচিত্র
- ম্যাচ
- সর্বোচ্চ প্রস্থ
- সর্বাধিক
- MD5
- মানে
- পদ্ধতি
- মিডিয়া
- সদস্য
- উল্লিখিত
- বার্তা
- পদ্ধতি
- সর্বনিম্ন
- পরিবর্তন
- মডুলার
- মডিউল
- মডিউল
- অধিক
- মিয়ানমার
- নামে
- নাম
- প্রকৃতি
- প্রয়োজন
- প্রয়োজন
- তন্ন তন্ন
- নেটওয়ার্ক
- পরবর্তী
- এনজিও
- নাইজেরিয়া
- সংখ্যা
- সংখ্যার
- of
- on
- ONE
- অনলাইন
- অনলাইন গেমিং
- কেবল
- Opera
- পরিচালনা
- or
- সংগঠন
- সংগঠন
- সম্ভূত
- অন্যান্য
- অন্যরা
- আমাদের
- বাইরে
- চেহারা
- আউটপুট
- শেষ
- ওভারভিউ
- নিজের
- প্যাকেট
- বিশেষ
- নিষ্ক্রিয়
- পাসওয়ার্ড
- প্যাচিং
- পথ
- পিডিএফ
- করণ
- সঞ্চালিত
- অধ্যবসায়
- ফিলিপাইন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- আত্মসমর্থন করা
- প্লাগ লাগানো
- প্লাগ-ইন
- পয়েন্ট
- জনপ্রিয়
- সম্ভব
- পোস্ট
- বর্তমান
- পূর্বে
- প্রাথমিক
- প্রধান
- প্রক্রিয়া
- প্রসেস
- বৈশিষ্ট্য
- প্রোটোকল
- প্রমাণ করা
- প্রদান
- প্রদেশে
- প্রকাশ্য
- প্রকাশ্যে
- প্রকাশিত
- বিশুদ্ধরূপে
- প্রশ্ন
- এলোমেলো
- পৌঁছেছে
- পাঠক
- গ্রহণ করা
- গৃহীত
- গ্রহণ
- রেকর্ড
- উদ্ধার করুন
- নিবন্ধভুক্ত
- রেজিস্ট্রি
- দূরবর্তী
- রিপ্লাই
- রিপোর্ট
- প্রতিবেদন
- অনুরোধ
- গবেষণা
- গবেষকরা
- স্থিরপ্রতিজ্ঞ
- প্রতিক্রিয়া
- ফল
- s
- একই
- দৃশ্যকল্প
- পরিস্থিতিতে
- স্ক্রিনশট
- বিভাগে
- নিরাপত্তা
- দেখা
- ক্রম
- সার্ভারের
- সেবা
- সেবা
- সেশন
- বিভিন্ন
- প্রদর্শিত
- শো
- উল্লেখযোগ্যভাবে
- অনুরূপ
- থেকে
- আয়তন
- ছোট
- সামাজিক
- সামাজিক মাধ্যম
- সফটওয়্যার
- সোর্স
- বিশেষভাবে
- ফটকা
- পর্যায়
- শুরু
- শুরু হচ্ছে
- স্টিলস
- এখনো
- দোকান
- স্ট্রিম
- সফল
- এমন
- পদ্ধতি
- টেবিল
- তাইওয়ান
- গ্রহণ করা
- লক্ষ্য
- লক্ষ্যবস্তু
- লক্ষ্য করে
- লক্ষ্যমাত্রা
- চা
- টেলিকম
- টেলিযোগাযোগ
- টেন সেন্ট
- চেয়ে
- যে
- সার্জারির
- ফিলিপাইনগণ
- তাদের
- তাহাদিগকে
- তারপর
- অতএব
- এইগুলো
- তারা
- এই
- সেগুলো
- দ্বারা
- সর্বত্র
- সময়
- শিরনাম
- থেকে
- টুলকিট
- আদর্শ
- অনন্য
- পৌঁছনীয় নয়
- আপডেট
- আপডেট
- URL টি
- ইউএসবি
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- বিভিন্ন
- খুব
- মাধ্যমে
- শিকার
- ক্ষতিগ্রস্তদের
- ভিয়েতনাম
- জেয়
- ছিল
- we
- ওয়েব
- ওয়েব ব্রাউজার
- উইচ্যাট
- আমরা একটি
- সুপরিচিত
- ছিল
- কি
- কখন
- কিনা
- যে
- যখন
- ব্যাপক
- উইকিপিডিয়া
- ইচ্ছা
- জানালা
- সঙ্গে
- ছাড়া
- মূল্য
- would
- লেখা
- এক্সএমএল
- zephyrnet