উত্তর কোরিয়ার BlueNoroff APT 'ডাম্বড ডাউন' MacOS ম্যালওয়্যার আত্মপ্রকাশ করেছে

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

উত্তর কোরিয়ার রাষ্ট্রীয় হ্যাকাররা মার্কিন যুক্তরাষ্ট্র এবং জাপানের ব্যবহারকারীদের লক্ষ্য করে একটি নতুন ম্যাক ম্যালওয়্যার আত্মপ্রকাশ করেছে, যেটিকে গবেষকরা "ডাম্বড ডাউন" কিন্তু কার্যকর বলে চিহ্নিত করেছেন৷

ডিপিআরকে-এর কুখ্যাত লাজারাস গ্রুপের একটি হাত, ব্লুনোরফ পরিচিত কিম সরকারের জন্য অর্থ সংগ্রহ করুন আর্থিক প্রতিষ্ঠানগুলিকে লক্ষ্য করে — ব্যাংক, ভেঞ্চার ক্যাপিটাল সংস্থাগুলি, ক্রিপ্টোকারেন্সি এক্সচেঞ্জ এবং স্টার্টআপ — এবং যারা তাদের ব্যবহার করে।

এই বছরের শুরু থেকে, জামফ থ্রেট ল্যাবসের গবেষকরা ম্যাকওএস সিস্টেমকে লক্ষ্য করে "রাস্টবাকেট" নামে একটি BlueNoroff প্রচারাভিযান ট্র্যাক করছেন। ভিতরে মঙ্গলবার প্রকাশিত একটি ব্লগ, তারা একটি ক্রিপ্টো এক্সচেঞ্জের অনুকরণ করে একটি নতুন দূষিত ডোমেন এবং "ObjCShellz" নামক একটি প্রাথমিক বিপরীত শেল প্রকাশ করেছে, যেটি গ্রুপটি নতুন লক্ষ্যগুলির সাথে আপস করতে ব্যবহার করছে৷

"আমরা গত কয়েক মাসে এই গ্রুপের অনেক কর্মকাণ্ড দেখেছি - শুধু আমাদের নয়, একাধিক নিরাপত্তা কোম্পানি," বলেছেন জ্যারন ব্র্যাডলি, জেমএফ থ্রেট ল্যাবসের পরিচালক৷ "এই ডাম্বড ডাউন ম্যালওয়্যার ব্যবহার করে তারা তাদের উদ্দেশ্যগুলি সম্পাদন করতে সক্ষম হওয়ার বিষয়টি অবশ্যই উল্লেখযোগ্য।"

উত্তর কোরিয়ার হ্যাকাররা ম্যাকওএসকে লক্ষ্য করে

ObjCShellz-এর প্রথম লাল পতাকাটি ছিল যে ডোমেনটির সাথে এটি সংযুক্ত ছিল: swissborg[.]blog, একটি ঠিকানা যা swissborg.com/blog-এর মতো, বৈধ ক্রিপ্টোকারেন্সি এক্সচেঞ্জ SwissBorg দ্বারা পরিচালিত একটি সাইট।

এটি BlueNoroff এর সর্বশেষ সামাজিক প্রকৌশল কৌশলের সাথে সামঞ্জস্যপূর্ণ ছিল। ভিতরে এর চলমান RustBucket প্রচারণা, হুমকি অভিনেতা নিয়োগকারী বা বিনিয়োগকারী, অফার বহন বা অংশীদারিত্বের সম্ভাবনার আড়ালে লক্ষ্যে পৌঁছাচ্ছেন। সাধারণ নেটওয়ার্ক ক্রিয়াকলাপের সাথে মিশ্রিত করার জন্য বৈধ আর্থিক ওয়েবসাইটের অনুকরণ করে প্রায়ই কমান্ড-এন্ড-কন্ট্রোল (C2) ডোমেন নিবন্ধন করা জড়িত, গবেষকরা ব্যাখ্যা করেছেন।

নীচের উদাহরণটি জামফ টিম একটি বৈধ ভেঞ্চার ক্যাপিটাল ফান্ডের ওয়েবসাইট থেকে ক্যাপচার করেছে এবং ব্লুনোরফ তার ফিশিং প্রচেষ্টায় ব্যবহার করেছে৷

একটি বৈধ বিনিয়োগ পৃষ্ঠা থেকে স্ক্রিনশট BlueNoroff ফিশিং-এ ব্যবহার করে৷ — সূত্র: জামফ

প্রাথমিক অ্যাক্সেস পরে তার আসে MacOS-ভিত্তিক ম্যালওয়্যার - একটি ক্রমবর্ধমান প্রবণতা৷ এবং BlueNoroff এর সাম্প্রতিক বিশেষত্ব।

"তারা ডেভেলপার এবং ব্যক্তিদের টার্গেট করছে যারা এই ক্রিপ্টোকারেন্সিগুলি ধারণ করছে," ব্র্যাডলি ব্যাখ্যা করেন, এবং, সুবিধাবাদী ফ্যাশনে, গ্রুপটি শুধুমাত্র একটি অপারেটিং সিস্টেম ব্যবহার করে তাদের টার্গেট করতে সন্তুষ্ট নয়। “আপনি একটি উইন্ডোজ কম্পিউটারে শিকারের পিছনে যেতে পারেন, কিন্তু অনেক সময় সেই ব্যবহারকারীরা ম্যাকে যাচ্ছেন। তাই আপনি যদি সেই প্ল্যাটফর্মটিকে টার্গেট না করার সিদ্ধান্ত নেন, তাহলে আপনি সম্ভবত চুরি হতে পারে এমন একটি খুব বড় পরিমাণ ক্রিপ্টোকারেন্সি থেকে অপ্ট আউট করছেন।"

প্রযুক্তিগত দৃষ্টিকোণ থেকে, যাইহোক, ObjCShellz একেবারেই সরল - অ্যাপল কম্পিউটারের জন্য একটি সাধারণ বিপরীত শেল, আক্রমণকারীর সার্ভার থেকে কমান্ড কার্যকর করতে সক্ষম করে। (গবেষকরা সন্দেহ করেন যে এই সরঞ্জামটি বহু-পর্যায়ের আক্রমণের শেষ পর্যায়ে ব্যবহৃত হয়।)

বাইনারিটি সেপ্টেম্বরে জাপান থেকে একবার এবং অক্টোবরের মাঝামাঝি মার্কিন ভিত্তিক আইপি থেকে তিনবার আপলোড করা হয়েছিল, জামফ গবেষকরা যোগ করেছেন।

ব্লু নরফের ক্রিপ্টো চুরির সাফল্যের আলোকে, ব্র্যাডলি ম্যাক ব্যবহারকারীদের তাদের উইন্ডোজ ভাইদের মতো সজাগ থাকার আহ্বান জানান।

"ম্যাকগুলি কীভাবে সহজাতভাবে নিরাপদ সে সম্পর্কে অনেক মিথ্যা বোঝাপড়া রয়েছে, এবং এতে অবশ্যই কিছু সত্য রয়েছে," তিনি বলেছেন। "ম্যাক একটি নিরাপদ অপারেটিং সিস্টেম। কিন্তু যখন সামাজিক প্রকৌশলের কথা আসে, যে কেউ তাদের কম্পিউটারে দূষিত কিছু চালানোর জন্য সংবেদনশীল।"