একটি তুলনামূলকভাবে নতুন সাইবার-গুপ্তচরবৃত্তি গ্রুপ দক্ষিণ-পূর্ব এশিয়া, মধ্যপ্রাচ্য এবং দক্ষিণ আফ্রিকার কোম্পানি এবং সরকারগুলির সাথে আপস করার জন্য সরঞ্জাম এবং কৌশলগুলির একটি কৌতুকপূর্ণ কাস্টম অস্ত্রাগার ব্যবহার করছে, লক্ষ্যবস্তু সংস্থাগুলির কাছ থেকে গোয়েন্দা তথ্য সংগ্রহের লক্ষ্যে আক্রমণের সাথে।
মঙ্গলবার সাইবারসিকিউরিটি ফার্ম ESET-এর দ্বারা প্রকাশিত একটি বিশ্লেষণ অনুসারে, গ্রুপের বৈশিষ্ট্য, যাকে Worok বলা হয়, অন্য আক্রমণে দেখা যায় না এমন কাস্টম সরঞ্জামগুলির ব্যবহার, দক্ষিণ-পূর্ব এশিয়ার লক্ষ্যগুলির উপর ফোকাস করা এবং চীন-এর সাথে অপারেশনাল মিল- সংযুক্ত TA428 গ্রুপ।
2020 সালে, গ্রুপটি কয়েক মাস বিরতি নেওয়ার আগে এই অঞ্চলের টেলিকমিউনিকেশন কোম্পানি, সরকারী সংস্থা এবং মেরিটাইম ফার্মগুলিতে আক্রমণ করেছিল। এটি 2022 এর শুরুতে পুনরায় কাজ শুরু করে।
ESET পরামর্শ জারি করেছে গ্রুপে কারণ কোম্পানির গবেষকরা অন্য কোনো গোষ্ঠীর দ্বারা ব্যবহৃত অনেক সরঞ্জাম দেখেননি, বলেছেন থিবাউট প্যাসিলি, ESET-এর একজন ম্যালওয়্যার গবেষক এবং বিশ্লেষণের লেখক৷
"Worok হল এমন একটি গোষ্ঠী যা ডেটা চুরি করার জন্য একচেটিয়া এবং নতুন সরঞ্জাম ব্যবহার করে - তাদের লক্ষ্য বিশ্বব্যাপী এবং বেসরকারি সংস্থাগুলি, পাবলিক সংস্থাগুলির পাশাপাশি সরকারী প্রতিষ্ঠানগুলিকে অন্তর্ভুক্ত করে," তিনি বলেছেন৷ "তাদের বিভিন্ন অস্পষ্টতা কৌশলের ব্যবহার, বিশেষ করে স্টেগানোগ্রাফি, তাদের সত্যিই অনন্য করে তোলে।"
Worok এর কাস্টম টুলসেট
Worok সাইবার অপরাধমূলক পরিষেবা এবং পণ্য আক্রমণের সরঞ্জামগুলি ব্যবহার করে আক্রমণকারীদের সাম্প্রতিক প্রবণতাকে বক্স করে কারণ এই অফারগুলি ডার্ক ওয়েবে প্রস্ফুটিত হয়েছে৷ প্রক্সি-এ-এ-পরিষেবা অফার করে EvilProxy, উদাহরণস্বরূপ, ফিশিং আক্রমণকে দুই-ফ্যাক্টর প্রমাণীকরণ পদ্ধতি বাইপাস করার অনুমতি দেয় ফ্লাইতে বিষয়বস্তু ক্যাপচার এবং পরিবর্তন করে। অন্যান্য গোষ্ঠী যেমন নির্দিষ্ট পরিষেবাগুলিতে বিশেষীকরণ করেছে প্রাথমিক অ্যাক্সেস দালাল, যা রাষ্ট্র-স্পনসর্ড গোষ্ঠী এবং সাইবার অপরাধীদের ইতিমধ্যেই আপস করা সিস্টেমগুলিতে পেলোড সরবরাহ করার অনুমতি দেয়।
এর পরিবর্তে Worok এর টুলসেট একটি ইন-হাউস কিট নিয়ে গঠিত। এটি CLRLload C++ লোডার অন্তর্ভুক্ত করে; PowHeartBeat PowerShell ব্যাকডোর; এবং একটি দ্বিতীয় পর্যায়ের C# লোডার, PNGLoad, যেটি স্টেগানোগ্রাফি ব্যবহার করে ইমেজ ফাইলে কোড লুকিয়ে রাখে (যদিও গবেষকরা এখনও একটি এনকোড করা ছবি ক্যাপচার করতে পারেননি)।
কমান্ড এবং নিয়ন্ত্রণের জন্য, PowHeartBeat বর্তমানে ICMP প্যাকেট ব্যবহার করে আপসহীন সিস্টেমে কমান্ড ইস্যু করার জন্য, যার মধ্যে কমান্ড চালানো, ফাইল সংরক্ষণ করা এবং ডেটা আপলোড করা রয়েছে।
ম্যালওয়্যারকে টার্গেট করার সময় এবং কিছু সাধারণ শোষণের ব্যবহার যেমন ProxyShell শোষণ, যা এক বছরেরও বেশি সময় ধরে সক্রিয়ভাবে ব্যবহার করা হয়েছে — বিদ্যমান গোষ্ঠীগুলির মতোই, আক্রমণের অন্যান্য দিকগুলি অনন্য, প্যাসিলি বলেছেন।
"আমরা এখন পর্যন্ত পরিচিত ম্যালওয়ারের সাথে কোন কোডের মিল দেখিনি," তিনি বলেছেন। “এর অর্থ হল দূষিত সফ্টওয়্যারের উপর তাদের এক্সক্লুসিভিটি রয়েছে, হয় তারা নিজেরাই এটি তৈরি করে বা তারা এটি একটি বন্ধ উত্স থেকে কিনে থাকে; তাই, তাদের হাতিয়ার পরিবর্তন ও উন্নতি করার ক্ষমতা আছে। চুরির জন্য তাদের ক্ষুধা এবং তাদের লক্ষ্যবস্তু বিবেচনা করে, তাদের কার্যকলাপ অবশ্যই ট্র্যাক করা উচিত।"
অন্যান্য গ্রুপের কিছু লিঙ্ক
যদিও Worok গ্রুপের অনুরূপ দিক রয়েছে TA428, একটি চীনা গ্রুপ যেটি এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চলের দেশগুলির বিরুদ্ধে সাইবার-অপারেশন চালিয়েছে, একই গোষ্ঠীকে আক্রমণের জন্য দায়ী করার প্রমাণ যথেষ্ট শক্তিশালী নয়, ESET বলে। দুটি গ্রুপ টুল শেয়ার করতে পারে এবং সাধারণ লক্ষ্য থাকতে পারে, কিন্তু তারা যথেষ্ট আলাদা যে তাদের অপারেটর সম্ভবত ভিন্ন, প্যাসিলি বলেছেন।
“[W]e TA428 এর সাথে কয়েকটি সাধারণ পয়েন্ট পর্যবেক্ষণ করেছে, বিশেষ করে শ্যাডোপ্যাডের ব্যবহার, লক্ষ্যবস্তুতে মিল এবং তাদের কার্যকলাপের সময়,” তিনি বলেছেন। “এই মিলগুলো তেমন উল্লেখযোগ্য নয়; তাই আমরা কম আত্মবিশ্বাসের সাথে দুটি গ্রুপকে সংযুক্ত করি।"
কোম্পানিগুলির জন্য, উপদেষ্টা একটি সতর্কতা যে আক্রমণকারীরা উদ্ভাবন চালিয়ে যাচ্ছে, প্যাসিলি বলেছেন। কোম্পানিগুলিকে সাইবার-গুপ্তচরবৃত্তি গোষ্ঠীগুলির আচরণ ট্র্যাক করা উচিত যাতে বোঝা যায় কখন তাদের শিল্প আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু হতে পারে।
"সাইবার আক্রমণ থেকে রক্ষা করার প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ নিয়ম হল আক্রমণের পৃষ্ঠকে কমাতে সফ্টওয়্যার আপডেট করা এবং অনুপ্রবেশ রোধ করতে সুরক্ষার একাধিক স্তর ব্যবহার করা," প্যাসিলি বলেছেন।
