সফ্টওয়্যার আপডেটে সদ্য ID'ed চাইনিজ APT ব্যাকডোর লুকায়

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

2018 সাল থেকে, একজন পূর্বে অজানা চীনা হুমকি অভিনেতা চীনা এবং জাপানি লক্ষ্যবস্তুর বিরুদ্ধে প্রতিপক্ষ-ইন-দ্য-মিডল (AitM) সাইবার-গুপ্তচরবৃত্তি আক্রমণে একটি অভিনব ব্যাকডোর ব্যবহার করছেন।

নির্দিষ্ট শিকার ESET যে গ্রুপটিকে "ব্ল্যাকউড" নাম দিয়েছে একটি বৃহৎ চাইনিজ ম্যানুফ্যাকচারিং এবং ট্রেডিং কোম্পানি, একটি জাপানি ইঞ্জিনিয়ারিং এবং ম্যানুফ্যাকচারিং কোম্পানির চীনা অফিস, চীন ও জাপানের ব্যক্তি এবং যুক্তরাজ্যের একটি উচ্চ-প্রোফাইল গবেষণা বিশ্ববিদ্যালয়ের সাথে যুক্ত একজন চীনাভাষী ব্যক্তি অন্তর্ভুক্ত।

যে ব্ল্যাকউড এখন কেবল আউট হয়ে যাচ্ছে, তার প্রথম পরিচিত কার্যকলাপের অর্ধ দশকেরও বেশি সময় থেকে, প্রাথমিকভাবে দুটি জিনিসকে দায়ী করা যেতে পারে: অনায়াসে এর ক্ষমতা জনপ্রিয় সফ্টওয়্যার পণ্যগুলির আপডেটগুলিতে ম্যালওয়্যার লুকিয়ে রাখুন৷ WPS অফিসের মতো, এবং ম্যালওয়্যার নিজেই, "NSPX30" নামক একটি অত্যন্ত পরিশীলিত গুপ্তচরবৃত্তির সরঞ্জাম৷

ব্ল্যাকউড এবং NSPX30

NSPX30 এর পরিশীলিততা, ইতিমধ্যে, প্রায় দুই দশকের গবেষণা এবং উন্নয়নের জন্য দায়ী করা যেতে পারে।

ESET বিশ্লেষকদের মতে, NSPX30 পিছনের দরজাগুলির একটি দীর্ঘ বংশ থেকে অনুসরণ করে যা তারা মরণোত্তর "প্রজেক্ট উড" নামকরণ করেছে, আপাতদৃষ্টিতে প্রথম 9 জানুয়ারী, 2005-এ সংকলিত হয়েছিল৷

প্রজেক্ট উড থেকে - যা বিভিন্ন সময়ে হংকংয়ের একজন রাজনীতিবিদকে লক্ষ্য করার জন্য ব্যবহার করা হয়েছিল, এবং তারপরে তাইওয়ান, হংকং এবং দক্ষিণ-পূর্ব চীনে লক্ষ্যবস্তু - 2008-এর DCM (ওরফে "ডার্ক স্পেকটার") সহ আরও রূপ এসেছে, যা টিকে ছিল 2018 পর্যন্ত দূষিত প্রচারণা।

সেই একই বছর বিকশিত NSPX30, এটির আগে আসা সমস্ত সাইবার গুপ্তচরবৃত্তির এপোজি।

একটি ড্রপার, একটি DLL ইনস্টলার, লোডার, অর্কেস্ট্রেটর এবং ব্যাকডোর সমন্বিত মাল্টিস্টেজড, মাল্টিফাংশনাল টুল, যার মধ্যে পরের দুটি অতিরিক্ত, অদলবদলযোগ্য প্লাগ-ইনগুলির নিজস্ব সেটের সাথে আসে।

গেমটির নাম তথ্য চুরি, তা সে সিস্টেম বা নেটওয়ার্ক সম্পর্কে ডেটা, ফাইল এবং ডিরেক্টরি, শংসাপত্র, কীস্ট্রোক, স্ক্রিনগ্রাব, অডিও, চ্যাট এবং জনপ্রিয় মেসেজিং অ্যাপের পরিচিতি তালিকা - WeChat, Telegram, Skype, Tencent QQ, ইত্যাদি — এবং আরো

অন্যান্য প্রতিভাগুলির মধ্যে, NSPX30 একটি বিপরীত শেল স্থাপন করতে পারে, চীনা অ্যান্টিভাইরাস সরঞ্জামগুলিতে অনুমোদিত তালিকায় নিজেকে যুক্ত করতে পারে এবং নেটওয়ার্ক ট্র্যাফিক আটকাতে পারে। এই পরের ক্ষমতাটি ব্ল্যাকউডকে কার্যকরভাবে তার কমান্ড-এন্ড-কন্ট্রোল অবকাঠামো গোপন করতে দেয়, যা সনাক্তকরণ ছাড়াই এর দীর্ঘমেয়াদে অবদান রাখতে পারে।

সফটওয়্যার আপডেটে লুকানো একটি ব্যাকডোর

ব্ল্যাকউডের সর্বশ্রেষ্ঠ কৌতুক, যদিও, এটির সর্বশ্রেষ্ঠ রহস্য হিসাবে দ্বিগুণ।

NSPX30 দিয়ে মেশিনগুলিকে সংক্রামিত করার জন্য, এটি কোনও সাধারণ কৌশল ব্যবহার করে না: ফিশিং, সংক্রামিত ওয়েবপেজ, ইত্যাদি। পরিবর্তে, যখন কিছু পুরোপুরি বৈধ প্রোগ্রামগুলি এনক্রিপ্ট করা HTTP এর মাধ্যমে সমানভাবে বৈধ কর্পোরেট সার্ভার থেকে আপডেটগুলি ডাউনলোড করার চেষ্টা করে, তখন ব্ল্যাকউড কোনওভাবে তার ব্যাকডোরেও ইনজেক্ট করে। মিশ্রণের মধ্যে

অন্য কথায়, এটি কোনও বিক্রেতার সোলারউইন্ডস-স্টাইলের সাপ্লাই চেইন লঙ্ঘন নয়। পরিবর্তে, ESET অনুমান করে যে ব্ল্যাকউড নেটওয়ার্ক ইমপ্লান্ট ব্যবহার করছে। এই ধরনের ইমপ্লান্টগুলি লক্ষ্যযুক্ত নেটওয়ার্কগুলিতে দুর্বল প্রান্ত ডিভাইসগুলিতে সংরক্ষণ করা যেতে পারে, যেমনটি অন্যান্য চীনা APT এর মধ্যে সাধারণ.

NSPX30 ছড়িয়ে দেওয়ার জন্য ব্যবহৃত সফ্টওয়্যার পণ্যগুলির মধ্যে রয়েছে WPS অফিস (Microsoft এবং Google-এর স্যুট অফ অফিস সফ্টওয়্যারের একটি জনপ্রিয় বিনামূল্যের বিকল্প), QQ তাত্ক্ষণিক বার্তা পরিষেবা (মাল্টিমিডিয়া জায়ান্ট টেনসেন্ট দ্বারা তৈরি), এবং Sogou Pinyin ইনপুট পদ্ধতি সম্পাদক (চীনের বাজার- কয়েক মিলিয়ন ব্যবহারকারীর সাথে শীর্ষস্থানীয় পিনইন টুল)।

তাহলে কিভাবে সংগঠনগুলো এই হুমকির বিরুদ্ধে রক্ষা করতে পারে? নিশ্চিত করুন যে আপনার এন্ডপয়েন্ট সুরক্ষা সরঞ্জামটি NSPX30 ব্লক করে এবং বৈধ সফ্টওয়্যার সিস্টেমের সাথে সম্পর্কিত ম্যালওয়্যার সনাক্তকরণের দিকে মনোযোগ দিন, ESET-এর সিনিয়র ম্যালওয়্যার গবেষক ম্যাথিউ টারটারে পরামর্শ দেন৷ "এছাড়াও, এআরপি বিষক্রিয়ার মতো AitM আক্রমণগুলিকে সঠিকভাবে নিরীক্ষণ এবং ব্লক করে - আধুনিক সুইচগুলিতে এই জাতীয় আক্রমণ প্রশমিত করার জন্য ডিজাইন করা বৈশিষ্ট্য রয়েছে," তিনি বলেছেন। IPv6 নিষ্ক্রিয় করা একটি IPv6 SLAAC আক্রমণকে ব্যর্থ করতে সাহায্য করতে পারে, তিনি যোগ করেন।

"একটি ভাল-সেগমেন্টেড নেটওয়ার্কও সাহায্য করবে, কারণ AitM শুধুমাত্র সাবনেটকে প্রভাবিত করবে যেখানে এটি সঞ্চালিত হয়," টার্টারে বলেছেন।