ESET গবেষকরা OilRig APT গ্রুপের দুটি প্রচারণা বিশ্লেষণ করেছেন: আউটার স্পেস (2021), এবং জুসি মিক্স (2022)। এই উভয় সাইবার গুপ্তচরবৃত্তির প্রচারণাই একচেটিয়াভাবে ইসরায়েলি সংস্থাগুলিকে টার্গেট করেছিল, যা মধ্যপ্রাচ্যে গ্রুপের ফোকাসের সাথে সামঞ্জস্যপূর্ণ, এবং একই প্লেবুক ব্যবহার করেছে: OilRig প্রথমে একটি C&C সার্ভার হিসাবে ব্যবহার করার জন্য একটি বৈধ ওয়েবসাইটের সাথে আপস করেছিল এবং তারপর C# সরবরাহ করতে VBS ড্রপার ব্যবহার করেছিল। /.NET ব্যাকডোর এর শিকারদের কাছে, এছাড়াও বিভিন্ন পোস্ট আপস সরঞ্জাম স্থাপন করে যা বেশিরভাগই টার্গেট সিস্টেমে ডেটা এক্সফিল্ট্রেশনের জন্য ব্যবহৃত হয়।
তাদের আউটার স্পেস ক্যাম্পেইনে, OilRig একটি সাধারণ, পূর্বে নথিপত্রবিহীন C#/.NET ব্যাকডোর ব্যবহার করে আমরা সোলার নাম দিয়েছিলাম, সাথে একটি নতুন ডাউনলোডার, SampleCheck5000 (বা SC5k), যা C&C যোগাযোগের জন্য Microsoft Office Exchange Web Services API ব্যবহার করে। জুসি মিক্স ক্যাম্পেইনের জন্য, থ্রেট অ্যাক্টররা সোলারে উন্নতি করেছে আমের ব্যাকডোর তৈরি করতে, যা অতিরিক্ত ক্ষমতা এবং অস্পষ্ট করার পদ্ধতির অধিকারী। ক্ষতিকারক টুলসেট শনাক্ত করার পাশাপাশি, আমরা ইসরায়েলি CERT-কে আপোস করা ওয়েবসাইটগুলির বিষয়েও জানিয়েছি।
এই ব্লগপোস্টের মূল পয়েন্ট:
- ESET দুটি OilRig প্রচারাভিযান পর্যবেক্ষণ করেছে যা 2021 (আউটার স্পেস) এবং 2022 (রসালো মিশ্রণ) জুড়ে ঘটেছে।
- অপারেটররা একচেটিয়াভাবে ইসরায়েলি সংস্থাগুলিকে টার্গেট করেছে এবং তাদের C&C যোগাযোগে ব্যবহারের জন্য বৈধ ইসরায়েলি ওয়েবসাইটগুলিকে আপস করেছে৷
- তারা প্রতিটি প্রচারণায় একটি নতুন, পূর্বে নথিপত্রবিহীন C#/.NET প্রথম পর্যায়ের ব্যাকডোর ব্যবহার করেছে: আউটার স্পেসে সৌর, তারপর তার উত্তরসূরি আম জুসি মিক্সে।
- উভয় পিছনের দরজা VBS ড্রপার দ্বারা স্থাপন করা হয়েছিল, সম্ভবত স্পিয়ারফিশিং ইমেলের মাধ্যমে ছড়িয়ে পড়ে।
- উভয় প্রচারাভিযানে বিভিন্ন ধরনের পোস্ট-কম্প্রোমাইজ টুল মোতায়েন করা হয়েছিল, বিশেষ করে SC5k ডাউনলোডার যা C&C যোগাযোগের জন্য Microsoft Office Exchange Web Services API ব্যবহার করে এবং Windows Credential Manager থেকে ব্রাউজার ডেটা এবং শংসাপত্র চুরি করার জন্য বেশ কিছু টুল।
OilRig, APT34, Lyceum, বা Siamesekitten নামেও পরিচিত, একটি সাইবার স্পাইনেজ গ্রুপ যা অন্তত 2014 সাল থেকে সক্রিয় এবং সাধারণত বিশ্বাস করা হয় ইরানে ভিত্তিক হতে হবে। গ্রুপটি মধ্যপ্রাচ্যের সরকার এবং রাসায়নিক, শক্তি, আর্থিক এবং টেলিযোগাযোগ সহ বিভিন্ন ব্যবসায়িক উল্লম্বকে লক্ষ্য করে। OilRig DNS spionage অভিযান পরিচালনা করে 2018 এবং 2019, যা লেবানন এবং সংযুক্ত আরব আমিরাতের শিকারদের লক্ষ্য করে। 2019 এবং 2020 সালে, OilRig এর সাথে আক্রমণ অব্যাহত রেখেছে হার্ডপাস প্রচারাভিযান, যা জ্বালানি ও সরকারি খাতে মধ্যপ্রাচ্যের ক্ষতিগ্রস্তদের লক্ষ্য করার জন্য LinkedIn ব্যবহার করেছে। 2021 সালে, OilRig এটি আপডেট করেছে ড্যানবট পেছনের দরজায় মোতায়েন করা শুরু করে হাঙ্গর, মিলান, এবং Marlin backdoors, উল্লেখিত T3 2021 ইস্যু ESET থ্রেট রিপোর্টের।
এই ব্লগপোস্টে, আমরা সোলার এবং ম্যাঙ্গো ব্যাকডোর, আম ডেলিভারির জন্য ব্যবহৃত VBS ড্রপার এবং প্রতিটি ক্যাম্পেইনে নিয়োজিত পোস্ট-কম্প্রোমাইজ টুলের প্রযুক্তিগত বিশ্লেষণ প্রদান করি।
আরোপণ
যে প্রাথমিক লিঙ্কটি আমাদেরকে OilRig-এর সাথে আউটার স্পেস ক্যাম্পেইন সংযোগ করতে দেয় তা হল একই কাস্টম ক্রোম ডেটা ডাম্পার (এমকেজি নামে ইএসইটি গবেষকদের দ্বারা ট্র্যাক করা) ব্যবহার আউট টু সি ক্যাম্পেইন. আমরা লক্ষ্য করেছি যে সৌর ব্যাকডোরে MKG-এর একই নমুনা স্থাপন করা হয়েছে, যেমনটি আউট টু সীতে লক্ষ্যের সিস্টেমে, অন্যান্য দুটি রূপের সাথে।
টুলস এবং টার্গেটিং এর ওভারল্যাপ ছাড়াও, আমরা আউট টু সি-তে ব্যবহৃত সোলার ব্যাকডোর এবং ব্যাকডোরগুলির মধ্যে একাধিক মিল দেখেছি, বেশিরভাগই আপলোড এবং ডাউনলোডের সাথে সম্পর্কিত: সোলার এবং শার্ক উভয়ই, আরেকটি অয়েলরিগ ব্যাকডোর, সহজ আপলোড এবং ডাউনলোড স্কিমগুলির সাথে URI ব্যবহার করে ডাউনলোডের জন্য একটি "d" এবং আপলোডের জন্য একটি "u" সহ C&C সার্ভারের সাথে যোগাযোগ করতে; উপরন্তু, ডাউনলোডার SC5k অন্যান্য OilRig ব্যাকডোর যেমন ALMA, Shark, DanBot, এবং Milan এর মতই আপলোড এবং ডাউনলোড সাবডিরেক্টরি ব্যবহার করে। এই ফলাফলগুলি আরও নিশ্চিতকরণ হিসাবে কাজ করে যে আউটার স্পেস এর পিছনে অপরাধী প্রকৃতপক্ষে অয়েলরিগ।
অয়েলরিগের সাথে জুসি মিক্স ক্যাম্পেইনের সম্পর্ক, ইসরায়েলি সংস্থাগুলিকে টার্গেট করার পাশাপাশি - যা এই গুপ্তচরবৃত্তি গ্রুপের জন্য সাধারণ - ম্যাঙ্গো, এই প্রচারে ব্যবহৃত ব্যাকডোর এবং সোলারের মধ্যে কোড মিল রয়েছে। অধিকন্তু, উভয় পিছনের দরজা একই স্ট্রিং অস্পষ্টকরণ কৌশল সহ VBS ড্রপার দ্বারা স্থাপন করা হয়েছিল। জুসি মিক্সে নিযুক্ত পোস্ট-কম্প্রোমাইজ টুলের পছন্দ পূর্ববর্তী OilRig প্রচারাভিযানের প্রতিফলন করে।
আউটার স্পেস ক্যাম্পেইন ওভারভিউ
একটি জ্যোতির্বিদ্যা-ভিত্তিক নামকরণ স্কিম এর ফাংশন নাম এবং কাজগুলিতে ব্যবহারের জন্য নামকরণ করা হয়েছে, আউটার স্পেস হল 2021 থেকে একটি OilRig প্রচারাভিযান৷ এই প্রচারাভিযানে, গোষ্ঠীটি একটি ইসরায়েলি মানবসম্পদ সাইটের সাথে আপোস করেছিল এবং পরবর্তীতে এটিকে তার পূর্বের জন্য একটি C&C সার্ভার হিসাবে ব্যবহার করেছিল৷ অনথিভুক্ত C#/.NET ব্যাকডোর, সোলার। সৌর হল একটি সাধারণ ব্যাকডোর যার মৌলিক কার্যকারিতা যেমন ডিস্ক থেকে পড়া এবং লেখা এবং তথ্য সংগ্রহ করা।
সোলারের মাধ্যমে, গোষ্ঠীটি তারপরে একটি নতুন ডাউনলোডার SC5k মোতায়েন করেছে, যা কার্য সম্পাদনের জন্য অতিরিক্ত সরঞ্জামগুলি ডাউনলোড করতে অফিস এক্সচেঞ্জ ওয়েব সার্ভিসেস API ব্যবহার করে, যেমন দেখানো হয়েছে REF _Ref142655526 জ ব্যক্তিত্ব 1
. শিকারের সিস্টেম থেকে ব্রাউজার ডেটা বের করার জন্য, OilRig MKG নামে একটি Chrome-ডেটা ডাম্পার ব্যবহার করেছিল।
সরস মিশ্রণ প্রচারাভিযান ওভারভিউ
2022 সালে OilRig ইসরায়েলি সংস্থাগুলিকে লক্ষ্য করে আরেকটি প্রচার শুরু করেছিল, এবার একটি আপডেট করা টুলসেট সহ। আমরা একটি নতুন OilRig ব্যাকডোর, ম্যাঙ্গো (এর অভ্যন্তরীণ সমাবেশের নাম এবং ফাইলের নামের উপর ভিত্তি করে) ব্যবহারের জন্য প্রচারের নাম জুসি মিক্স করেছি, Mango.exe) এই প্রচারাভিযানে, হুমকি অভিনেতারা C&C যোগাযোগে ব্যবহারের জন্য একটি বৈধ ইসরায়েলি জব পোর্টাল ওয়েবসাইটের সাথে আপস করেছে। গোষ্ঠীটির দূষিত সরঞ্জামগুলি তখন একটি স্বাস্থ্যসেবা সংস্থার বিরুদ্ধে মোতায়েন করা হয়েছিল, এছাড়াও ইস্রায়েলে অবস্থিত।
ম্যাঙ্গো ফার্স্ট-স্টেজ ব্যাকডোর সোলারের উত্তরসূরি, যা C#/.NET-তেও লেখা, উল্লেখযোগ্য পরিবর্তনের সাথে এক্সফিল্ট্রেশন ক্ষমতা, নেটিভ এপিআই-এর ব্যবহার এবং শনাক্তকরণ ইভেশন কোড যোগ করা হয়েছে।
আমের সাথে, আমরা ক্রোম এবং এজ ব্রাউজার থেকে কুকিজ, ব্রাউজিং ইতিহাস এবং শংসাপত্র চুরি করতে ব্যবহৃত দুটি পূর্বে নথিভুক্ত ব্রাউজার-ডেটা ডাম্পার এবং একটি উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার চুরিকারীও শনাক্ত করেছি, যার সবকটিই আমরা OilRig কে দায়ী করি। এই সরঞ্জামগুলি সবগুলিই আমের মতো একই লক্ষ্যবস্তুর বিরুদ্ধে এবং সেইসাথে 2021 এবং 2022 জুড়ে অন্যান্য আপোষকৃত ইসরায়েলি সংস্থাগুলিতে ব্যবহৃত হয়েছিল। REF _Ref125475515 জ ব্যক্তিত্ব 2
জুসি মিক্স ক্যাম্পেইনে কীভাবে বিভিন্ন উপাদান ব্যবহার করা হয়েছিল তার একটি ওভারভিউ দেখায়।
প্রযুক্তিগত বিশ্লেষণ
এই বিভাগে, আমরা সোলার এবং ম্যাঙ্গো ব্যাকডোর এবং SC5k ডাউনলোডার, সেইসাথে এই প্রচারাভিযানে লক্ষ্যবস্তু সিস্টেমে মোতায়েন করা অন্যান্য সরঞ্জামগুলির প্রযুক্তিগত বিশ্লেষণ প্রদান করি।
ভিবিএস ড্রপার
টার্গেটের সিস্টেমে পা রাখার জন্য, ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (ভিবিএস) ড্রপার উভয় প্রচারেই ব্যবহার করা হয়েছিল, যেগুলি সম্ভবত স্পিয়ারফিশিং ইমেলগুলির মাধ্যমে ছড়িয়ে পড়েছিল। নীচের আমাদের বিশ্লেষণ আম ড্রপ করতে ব্যবহৃত VBS স্ক্রিপ্টের উপর ফোকাস করে (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); মনে রাখবেন যে সৌর এর ড্রপার খুব অনুরূপ।
ড্রপারের উদ্দেশ্য হল এমবেডেড ম্যাঙ্গো ব্যাকডোর ডেলিভারি করা, অধ্যবসায়ের জন্য একটি টাস্ক নির্ধারণ করা এবং C&C সার্ভারের সাথে আপস নিবন্ধন করা। এম্বেড করা ব্যাকডোর বেস64 সাবস্ট্রিংগুলির একটি সিরিজ হিসাবে সংরক্ষণ করা হয়, যেগুলি সংযুক্ত এবং বেস64 ডিকোড করা হয়। যেমন দেখানো হয়েছে REF _Ref125477632 জ ব্যক্তিত্ব 3
, স্ক্রিপ্টটি একটি সাধারণ স্ট্রিং ডিঅফসকেশন কৌশলও ব্যবহার করে, যেখানে গাণিতিক ক্রিয়াকলাপ ব্যবহার করে স্ট্রিংগুলি একত্রিত করা হয় এবং chr ফাংশন.
তার উপরে, আমের ভিবিএস ড্রপার অধ্যবসায় সেট আপ করতে এবং C&C সার্ভারে নিবন্ধন করতে অন্য ধরনের স্ট্রিং অস্পষ্টতা এবং কোড যোগ করে। যেমন দেখানো হয়েছে REF _Ref125479004 জ * মার্জফরম্যাট ব্যক্তিত্ব 4
, কিছু স্ট্রিং ডিঅফসকেট করতে, স্ক্রিপ্ট সেটের যেকোনো অক্ষর প্রতিস্থাপন করে #*+-_)(}{@$%^& সঙ্গে 0, তারপর স্ট্রিংটিকে তিন-সংখ্যার সংখ্যায় ভাগ করে যা পরে ASCII অক্ষরে রূপান্তরিত হয় chr
ফাংশন উদাহরণস্বরূপ, স্ট্রিং 116110101109117+99111$68+77{79$68}46-50108109120115}77 অনুবাদ Msxml2.DOMDocument.
ব্যাকডোরটি সিস্টেমে এম্বেড হয়ে গেলে, ড্রপার একটি নির্ধারিত কাজ তৈরি করতে এগিয়ে যায় যা প্রতি 14 মিনিটে আম (বা অন্য সংস্করণে সোলার) চালায়। অবশেষে, স্ক্রিপ্ট তার C&C সার্ভারের সাথে ব্যাকডোর নিবন্ধন করার জন্য একটি POST অনুরোধের মাধ্যমে আপস করা কম্পিউটারের একটি base64-এনকোডেড নাম পাঠায়।
সোলার ব্যাকডোর
OilRig এর আউটার স্পেস ক্যাম্পেইনে ব্যবহৃত ব্যাকডোর হল সোলার। মৌলিক কার্যকারিতার অধিকারী, এই ব্যাকডোর ব্যবহার করা যেতে পারে, অন্যান্য জিনিসগুলির মধ্যে, ফাইলগুলি ডাউনলোড এবং কার্যকর করতে, এবং স্বয়ংক্রিয়ভাবে স্টেজ করা ফাইলগুলিকে বহিষ্কার করতে।
OilRig দ্বারা ব্যবহৃত ফাইলের নামের উপর ভিত্তি করে আমরা সোলার নামটি বেছে নিয়েছি, Solar.exe. এটি একটি উপযুক্ত নাম যেহেতু ব্যাকডোরটি তার ফাংশনের নাম এবং বাইনারি জুড়ে ব্যবহৃত কাজগুলির জন্য একটি জ্যোতির্বিদ্যা নামকরণ স্কিম ব্যবহার করে (পারদ, শুক্র, মার্চ, পৃথিবী, এবং বৃহস্পতিগ্রহ).
সোলারে দেখানো ধাপগুলি সম্পাদন করে কার্যকর করা শুরু করে REF _Ref98146919 জ * মার্জফরম্যাট ব্যক্তিত্ব 5
.
পিছনের দরজা দুটি কাজ তৈরি করে, পৃথিবী
এবং শুক্র, যে মেমরি রান. দুটি কাজের জন্য কোন স্টপ ফাংশন নেই, তাই সেগুলি অনির্দিষ্টকালের জন্য চলবে। পৃথিবী
প্রতি 30 সেকেন্ড এবং চালানোর জন্য নির্ধারিত হয় শুক্র
প্রতি 40 সেকেন্ডে চালানোর জন্য সেট করা হয়।
পৃথিবী প্রাথমিক কাজ, সৌর ফাংশন বাল্ক জন্য দায়ী. এটি ফাংশন ব্যবহার করে C&C সার্ভারের সাথে যোগাযোগ করে মার্কারিটোসান, যা C&C সার্ভারে মৌলিক সিস্টেম এবং ম্যালওয়্যার সংস্করণ তথ্য পাঠায় এবং তারপর সার্ভারের প্রতিক্রিয়া পরিচালনা করে। পৃথিবী C&C সার্ভারে নিম্নলিখিত তথ্য পাঠায়:
- স্ট্রিং (@); পুরো স্ট্রিং এনক্রিপ্ট করা হয়.
- স্ট্রিং 1.0.0.0, এনক্রিপ্ট করা (সম্ভবত একটি সংস্করণ নম্বর)।
- স্ট্রিং 30000, এনক্রিপ্ট করা (সম্ভবত এর নির্ধারিত রানটাইম পৃথিবী
এনক্রিপশন এবং ডিক্রিপশন নামের ফাংশনে প্রয়োগ করা হয় বৃহস্পতি ই
এবং বৃহস্পতি ডি, যথাক্রমে। তারা উভয়ই নামে একটি ফাংশন কল জুপিটারএক্স, যা দেখানো হিসাবে একটি XOR লুপ প্রয়োগ করে REF _Ref98146962 জ ব্যক্তিত্ব 6
.
কীটি একটি হার্ডকোডেড গ্লোবাল স্ট্রিং ভেরিয়েবল থেকে নেওয়া হয়েছে, 6sEj7*0B7#7, এবং একটি পোপের দূত: এই ক্ষেত্রে, 2-24 অক্ষর দীর্ঘ থেকে একটি এলোমেলো হেক্স স্ট্রিং। XOR এনক্রিপশন অনুসরণ করে, আদর্শ বেস64 এনকোডিং প্রয়োগ করা হয়।
একটি ইসরায়েলি মানবসম্পদ কোম্পানির ওয়েব সার্ভার, যা অয়েলরিগ সোলার স্থাপনের আগে কিছু সময়ে আপস করেছিল, এটি সিএন্ডসি সার্ভার হিসাবে ব্যবহৃত হয়েছিল:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
ইউআরআই-তে যুক্ত হওয়ার আগে, এনক্রিপশন ননস এনক্রিপ্ট করা হয় এবং প্রাথমিক ক্যোয়ারী স্ট্রিংয়ের মান, rt, তৈরি d এখানে, সম্ভবত "ডাউনলোড" এর জন্য।
শেষ পদক্ষেপ মার্কারিটোসান
ফাংশন হল C&C সার্ভার থেকে একটি প্রতিক্রিয়া প্রক্রিয়া করা। এটি প্রতিক্রিয়ার একটি সাবস্ট্রিং পুনরুদ্ধার করে তা করে, যা অক্ষরের মধ্যে পাওয়া যায় QQ@ এবং @কে কে. এই প্রতিক্রিয়া নক্ষত্র দ্বারা পৃথক নির্দেশাবলীর একটি স্ট্রিং (*) যা একটি অ্যারেতে প্রক্রিয়া করা হয়। পৃথিবী
তারপরে ব্যাকডোর কমান্ডগুলি বহন করে, যার মধ্যে সার্ভার থেকে অতিরিক্ত পেলোড ডাউনলোড করা, শিকারের সিস্টেমে ফাইল তালিকাভুক্ত করা এবং নির্দিষ্ট এক্সিকিউটেবল চালানো অন্তর্ভুক্ত।
কমান্ড আউটপুট তারপর ফাংশন ব্যবহার করে gzip সংকুচিত হয় নেপচুন
এবং একই এনক্রিপশন কী এবং একটি নতুন নন্স দিয়ে এনক্রিপ্ট করা হয়েছে। তারপর ফলাফল C&C সার্ভারে আপলোড করা হয়, এভাবে:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
মেশিনগুইড এবং নতুন ননস এর সাথে এনক্রিপ্ট করা হয় বৃহস্পতি ই
ফাংশন, এবং এখানে এর মান rt তৈরি u, সম্ভবত "আপলোড" এর জন্য।
শুক্র, অন্যান্য নির্ধারিত কাজ, স্বয়ংক্রিয় ডেটা এক্সফিল্ট্রেশনের জন্য ব্যবহৃত হয়। এই ছোট কাজটি একটি ডিরেক্টরি থেকে ফাইলের বিষয়বস্তু অনুলিপি করে (নামও দেওয়া হয়েছে শুক্র) C&C সার্ভারে। এই ফাইলগুলি সম্ভবত অন্য কোনও অজ্ঞাত, অয়েলরিগ টুল দ্বারা এখানে ফেলে দেওয়া হয়েছে৷ একটি ফাইল আপলোড করার পরে, টাস্ক এটি ডিস্ক থেকে মুছে দেয়।
ব্যাকডোর আম
এর জুসি মিক্স ক্যাম্পেইনের জন্য, অয়েলরিগ সোলার ব্যাকডোর থেকে আমে চলে গেছে। এটির সৌর এবং ওভারল্যাপিং ক্ষমতার অনুরূপ কর্মপ্রবাহ রয়েছে, তবে তা সত্ত্বেও বেশ কয়েকটি উল্লেখযোগ্য পরিবর্তন রয়েছে:
- C&C যোগাযোগের জন্য TLS এর ব্যবহার।
- ফাইল এবং শেল কমান্ড চালানোর জন্য .NET API-এর পরিবর্তে নেটিভ API-এর ব্যবহার।
- যদিও সক্রিয়ভাবে ব্যবহার করা হয়নি, সনাক্তকরণ ফাঁকি কোড চালু করা হয়েছিল।
- স্বয়ংক্রিয় বহিস্কারের জন্য সমর্থন (শুক্র
- লগ মোডের জন্য সমর্থন মুছে ফেলা হয়েছে, এবং প্রতীক নামগুলি অস্পষ্ট করা হয়েছে।
সৌর-এর জ্যোতির্বিদ্যা-থিমযুক্ত নামকরণ প্রকল্পের বিপরীতে, আম তার প্রতীক নামগুলিকে অস্পষ্ট করে, যেমনটি দেখা যায় REF _Ref142592880 জ ব্যক্তিত্ব 7
.
প্রতীক নামের অস্পষ্টতা ছাড়াও, আম স্ট্রিং স্ট্যাকিং পদ্ধতিও ব্যবহার করে (যেমন দেখানো হয়েছে REF _Ref142592892 জ ব্যক্তিত্ব 8
REF _Ref141802299 জ
) অস্পষ্ট স্ট্রিং, যা সহজ সনাক্তকরণ পদ্ধতি ব্যবহার জটিল করে তোলে।
সোলারের মতো, ম্যাঙ্গো ব্যাকডোর একটি ইন-মেমরি টাস্ক তৈরি করে শুরু হয়, যা প্রতি 32 সেকেন্ডে অনির্দিষ্টকালের জন্য চালানোর জন্য নির্ধারিত হয়। এই কাজটি C&C সার্ভারের সাথে যোগাযোগ করে এবং সোলারের মতো ব্যাকডোর কমান্ড কার্যকর করে। পৃথিবী
টাস্ক যখন সৌরও সৃষ্টি করে শুক্র, স্বয়ংক্রিয় এক্সফিল্ট্রেশনের জন্য একটি কাজ, এই কার্যকারিতাটি একটি নতুন ব্যাকডোর কমান্ড দ্বারা ম্যাঙ্গোতে প্রতিস্থাপিত হয়েছে।
মূল কাজটিতে, আম প্রথমে একটি শিকার শনাক্তকারী তৈরি করে, , C&C যোগাযোগে ব্যবহার করা হবে। আইডি একটি MD5 হ্যাশ হিসাবে গণনা করা হয় , একটি হেক্সাডেসিমেল স্ট্রিং হিসাবে বিন্যাসিত।
একটি ব্যাকডোর কমান্ড অনুরোধ করতে, আম তারপর স্ট্রিং পাঠায় d@ @ | C&C সার্ভারে http://www.darush.co[.]il/ads.asp – একটি বৈধ ইসরায়েলি চাকরির পোর্টাল, সম্ভবত এই প্রচারণার আগে OilRig দ্বারা আপস করা হয়েছে। আমরা সমঝোতার বিষয়ে ইসরায়েলের জাতীয় CERT সংস্থাকে অবহিত করেছি।
অনুরোধের বডিটি নিম্নরূপ তৈরি করা হয়েছে:
- এনক্রিপশন কী ব্যবহার করে XOR এনক্রিপ্ট করা ডেটা প্রেরণ করা হবে প্রশ্ন এবং 4 গ্রাম, তারপর base64 এনকোড করা হয়েছে।
- এই বর্ণমালা থেকে 3-14 অক্ষরের একটি সিউডোর্যান্ডম স্ট্রিং তৈরি করা হয়েছে (যেমন এটি কোডে প্রদর্শিত হয়): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- এনক্রিপ্ট করা ডেটা জেনারেট করা স্ট্রিংয়ের মধ্যে একটি ছদ্ম র্যান্ডম অবস্থানে ঢোকানো হয়, এর মধ্যে আবদ্ধ থাকে [@ এবং @] সীমানা
এর C&C সার্ভারের সাথে যোগাযোগ করতে, আম TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) প্রোটোকল ব্যবহার করে, যা এনক্রিপশনের একটি অতিরিক্ত স্তর প্রদান করতে ব্যবহৃত হয়.
একইভাবে, C&C সার্ভার থেকে প্রাপ্ত ব্যাকডোর কমান্ড হল XOR এনক্রিপ্ট করা, base64 এনকোড করা, এবং তারপরে এর মধ্যে আবদ্ধ [@ এবং @] HTTP প্রতিক্রিয়া বডির মধ্যে। আদেশ নিজেই হয় NCNT
(যে ক্ষেত্রে কোন পদক্ষেপ নেওয়া হয় না), বা বিভিন্ন পরামিতির একটি স্ট্রিং দ্বারা সীমাবদ্ধ করা হয়
@, যেমন বিস্তারিত REF _Ref125491491 জ টেবিল 1
, যা আমের ব্যাকডোর কমান্ডের তালিকা করে। মনে রাখবেন যে সারণীতে তালিকাভুক্ত নয়, তবে C&C সার্ভারের প্রতিক্রিয়াতে ব্যবহৃত হয়।
সারণি 1. আমের ব্যাকডোর কমান্ডের তালিকা
arg1 |
arg2 |
arg3 |
কর্ম গ্রহণ |
ফেরত মূল্য |
|
1 অথবা খালি স্ট্রিং |
+sp |
N / A |
নেটিভ ব্যবহার করে নির্দিষ্ট ফাইল/শেল কমান্ড (ঐচ্ছিক আর্গুমেন্ট সহ) নির্বাহ করে প্রক্রিয়া তৈরি করুন API এর মাধ্যমে আমদানি করা হয়েছে DllImport. যদি যুক্তিগুলো থাকে [গুলি], এটি দ্বারা প্রতিস্থাপিত হয় সি: WindowsSystem32. |
কমান্ড আউটপুট। |
|
+নু |
N / A |
ম্যালওয়্যার সংস্করণ স্ট্রিং এবং C&C URL প্রদান করে। |
|; এক্ষেত্রে: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
নির্দিষ্ট ডিরেক্টরির বিষয়বস্তু গণনা করে (বা বর্তমান কাজের ডিরেক্টরি)। |
এর ডিরেক্টরি প্রতিটি সাবডিরেক্টরির জন্য:
প্রতিটি ফাইলের জন্য: ফাইল পরিচালক নথি পত্র) |
||
+dn |
N / A |
একটি নতুন HTTP POST অনুরোধ বিন্যাসের মাধ্যমে C&C সার্ভারে ফাইল সামগ্রী আপলোড করে: u@ @ | @ @2@. |
অন্যতম: · ফাইল ] সার্ভারে আপলোড করা হয়। · ফাইল পাওয়া যায়নি! · ফাইল পাথ খালি! |
||
2 |
Base64-এনকোডেড ডেটা |
ফাইলের নাম |
ওয়ার্কিং ডিরেক্টরির একটি ফাইলে নির্দিষ্ট ডেটা ডাম্প করে। |
ফাইল পাথে ডাউনলোড করা হয়েছে[ ] |
প্রতিটি ব্যাকডোর কমান্ড একটি নতুন থ্রেডে পরিচালনা করা হয় এবং তাদের রিটার্ন মানগুলি তখন বেস64 এনকোড করা হয় এবং অন্যান্য মেটাডেটার সাথে মিলিত হয়। অবশেষে, সেই স্ট্রিংটি উপরে বর্ণিত একই প্রোটোকল এবং এনক্রিপশন পদ্ধতি ব্যবহার করে C&C সার্ভারে পাঠানো হয়।
অব্যবহৃত সনাক্তকরণ ফাঁকি কৌশল
মজার বিষয় হল, আমরা একটি অব্যবহৃত খুঁজে পেয়েছি সনাক্তকরণ ফাঁকি কৌশল আমের মধ্যে। C&C সার্ভার থেকে ডাউনলোড করা ফাইল এবং কমান্ড কার্যকর করার জন্য দায়ী ফাংশনটি একটি ঐচ্ছিক দ্বিতীয় প্যারামিটার নেয় - একটি প্রক্রিয়া আইডি। সেট করা হলে আম ব্যবহার করে UpdateProcThreadAttribute
API সেট করতে PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) মান নির্দিষ্ট প্রক্রিয়ার জন্য বৈশিষ্ট্য: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), যেমন দেখানো হয়েছে REF _Ref125480118 জ ব্যক্তিত্ব 9
.
এই কৌশলটির লক্ষ্য হল এই প্রক্রিয়ায় একটি DLL এর মাধ্যমে তাদের ব্যবহারকারী-মোড কোড হুকগুলি লোড করা থেকে এন্ডপয়েন্ট সুরক্ষা সমাধানগুলিকে ব্লক করা। যদিও আমরা যে নমুনা বিশ্লেষণ করেছি তাতে প্যারামিটারটি ব্যবহার করা হয়নি, এটি ভবিষ্যতের সংস্করণগুলিতে সক্রিয় করা যেতে পারে।
সংস্করণ 1.1.1
জুসি মিক্স ক্যাম্পেইনের সাথে সম্পর্কহীন, জুলাই 2023-এ আমরা ম্যাঙ্গো ব্যাকডোরের একটি নতুন সংস্করণ খুঁজে পেয়েছি (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), নামে বেশ কিছু ব্যবহারকারী VirusTotal-এ আপলোড করেছেন Menorah.exe. এই নমুনার অভ্যন্তরীণ সংস্করণটি 1.0.0 থেকে 1.1.1 এ পরিবর্তিত হয়েছে, কিন্তু একমাত্র উল্লেখযোগ্য পরিবর্তন হল একটি ভিন্ন C&C সার্ভারের ব্যবহার, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
এই সংস্করণের সাথে, আমরা একটি Microsoft Word নথিও আবিষ্কার করেছি (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) একটি দূষিত ম্যাক্রো যা পিছনের দরজা ড্রপ করে। REF _Ref143162004 জ ব্যক্তিত্ব 10
নকল সতর্কীকরণ বার্তা দেখায়, ব্যবহারকারীকে নথির জন্য ম্যাক্রো সক্ষম করতে প্রলুব্ধ করে, এবং দূষিত কোডটি ব্যাকগ্রাউন্ডে চলাকালীন পরে প্রদর্শিত হয়।
চিত্র 10. মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্ট একটি দূষিত ম্যাক্রো সহ যা ম্যাঙ্গো v1.1.1 ড্রপ করে
পোস্ট আপস সরঞ্জাম
এই বিভাগে, আমরা OilRig-এর আউটার স্পেস এবং জুসি মিক্স প্রচারাভিযানে ব্যবহৃত পোস্ট-কম্প্রোমাইজ টুলগুলির একটি নির্বাচন পর্যালোচনা করি, যার লক্ষ্য অতিরিক্ত পেলোড ডাউনলোড করা এবং কার্যকর করা এবং আপস করা সিস্টেমগুলি থেকে ডেটা চুরি করা।
SampleCheck5000 (SC5k) ডাউনলোডার
SampleCheck5000 (বা SC5k) হল একটি ডাউনলোডার যা অতিরিক্ত OilRig সরঞ্জামগুলি ডাউনলোড এবং চালানোর জন্য ব্যবহৃত হয়, C&C যোগাযোগের জন্য Microsoft Office Exchange Web Services API ব্যবহার করার জন্য উল্লেখযোগ্য: আক্রমণকারীরা এই ইমেল অ্যাকাউন্টে খসড়া বার্তা তৈরি করে এবং সেখানে ব্যাকডোর কমান্ড লুকিয়ে রাখে। পরবর্তীকালে, ডাউনলোডার একই অ্যাকাউন্টে লগ ইন করে, এবং এক্সিকিউট করার জন্য কমান্ড এবং পেলোডগুলি পুনরুদ্ধার করতে খসড়াগুলি পার্স করে।
দূরবর্তী এক্সচেঞ্জ সার্ভারে লগ ইন করার জন্য SC5k পূর্বনির্ধারিত মান - মাইক্রোসফ্ট এক্সচেঞ্জ ইউআরএল, ইমেল ঠিকানা এবং পাসওয়ার্ড - ব্যবহার করে, তবে এটি বর্তমান ওয়ার্কিং ডিরেক্টরিতে একটি কনফিগারেশন ফাইল ব্যবহার করে এই মানগুলিকে ওভাররাইড করার বিকল্পটিকেও সমর্থন করে। setting.key. আউটার স্পেস ক্যাম্পেইনে টুলটি যে ইমেল ঠিকানা ব্যবহার করেছে তার একটির উপর ভিত্তি করে আমরা SampleCheck5000 নামটি বেছে নিয়েছি।
একবার SC5k রিমোট এক্সচেঞ্জ সার্ভারে লগ ইন করলে, এটি সমস্ত ইমেল পুনরুদ্ধার করে ড্রাফ্ট্ খেলা
ডিরেক্টরি, সংযুক্তি আছে শুধুমাত্র খসড়া রাখা, সবচেয়ে সাম্প্রতিক অনুযায়ী তাদের সাজান. এটি তারপরে একটি সংযুক্তি সহ প্রতিটি খসড়া বার্তার উপর পুনরাবৃত্তি করে, এতে থাকা JSON সংযুক্তিগুলির সন্ধান করে "তথ্য" দেহে. এটি কী থেকে মান বের করে উপাত্ত JSON ফাইলে, base64 মান এবং কল ডিকোড এবং ডিক্রিপ্ট করে cmd.exe ফলে কমান্ড লাইন স্ট্রিং চালানোর জন্য। SC5k তারপর আউটপুট সংরক্ষণ করে cmd.exe
একটি স্থানীয় ভেরিয়েবলে মৃত্যুদন্ড কার্যকর করা।
লুপের পরবর্তী ধাপ হিসাবে, ডাউনলোডার এক্সচেঞ্জ সার্ভারে একটি নতুন ইমেল বার্তা তৈরি করে এবং এটিকে খসড়া হিসাবে সংরক্ষণ করে OilRig অপারেটরদের কাছে ফলাফল রিপোর্ট করে (পাঠাচ্ছে না), যেমনটি দেখানো হয়েছে REF _Ref98147102
h * মার্জফরম্যাট ব্যক্তিত্ব 11
. একটি স্থানীয় স্টেজিং ফোল্ডার থেকে ফাইলগুলিকে এক্সফিল্টার করতে একটি অনুরূপ কৌশল ব্যবহার করা হয়। লুপের শেষ ধাপ হিসাবে, SC5k ডিস্কে একটি এনক্রিপ্ট করা এবং সংকুচিত বিন্যাসে কমান্ড আউটপুটও লগ করে।
ব্রাউজার-ডেটা ডাম্পার
OilRig অপারেটরদের তাদের আপস-পরবর্তী কার্যকলাপে ব্রাউজার-ডেটা ডাম্পার ব্যবহার করা বৈশিষ্ট্য। আমরা আমের ব্যাকডোরের পাশাপাশি জুসি মিক্স ক্যাম্পেইনে মোতায়েন পোস্ট-কম্প্রোমাইজ টুলের মধ্যে দুটি নতুন ব্রাউজার-ডেটা চুরিকারী আবিষ্কার করেছি। তারা চুরি করা ব্রাউজার ডেটা ডাম্প করে % টেম্প% নামের ফাইলগুলিতে ডিরেক্টরি কাপডেট
এবং আপডেট করুন
(তাই তাদের জন্য আমাদের নাম: CDumper এবং EDumper)।
উভয় সরঞ্জাম হল C#/.NET ব্রাউজার-ডেটা চুরিকারী, কুকি সংগ্রহ করা, ব্রাউজিং ইতিহাস, এবং ক্রোম (CDumper) এবং এজ (EDumper) ব্রাউজার থেকে শংসাপত্র। আমরা আমাদের বিশ্লেষণকে CDumper-এ ফোকাস করি, যেহেতু উভয় চুরিকারীই কার্যত অভিন্ন, কিছু ধ্রুবকের জন্য সংরক্ষণ করুন।
কার্যকর করা হলে, CDumper Google Chrome ইনস্টল থাকা ব্যবহারকারীদের একটি তালিকা তৈরি করে। কার্যকর করার সময়, চুরিকারী Chrome SQLite-এর সাথে সংযোগ করে কুকিজ, ইতিহাস
এবং লগইন ডেটা অধীনে ডাটাবেস %APPDATA%LocalGoogleChromeUser ডেটা, এবং SQL কোয়েরি ব্যবহার করে ভিজিট করা URL এবং সেভ করা লগইন সহ ব্রাউজার ডেটা সংগ্রহ করে।
কুকির মানগুলি তারপর ডিক্রিপ্ট করা হয়, এবং সমস্ত সংগৃহীত তথ্য নামের একটি লগ ফাইলে যোগ করা হয় C: ব্যবহারকারীরা AppDataLocalTempCupdate, স্পষ্ট লেখায়। এই কার্যকারিতা নামক CDumper ফাংশনে প্রয়োগ করা হয় কুকিগ্র্যাব
(দেখুন REF _Ref126168131 জ ব্যক্তিত্ব 12
), ইতিহাস দখল, এবং পাসওয়ার্ড গ্র্যাব. উল্লেখ্য যে সিডিডাম্পারে কোন এক্সফিল্ট্রেশন মেকানিজম প্রয়োগ করা হয়নি, তবে ম্যাঙ্গো ব্যাকডোর কমান্ডের মাধ্যমে নির্বাচিত ফাইলগুলিকে এক্সফিলট্রেট করতে পারে।
মহাকাশে এবং আগের উভয় ক্ষেত্রেই সমুদ্রে প্রচারাভিযান, OilRig MKG নামে একটি C/C++ Chrome ডেটা ডাম্পার ব্যবহার করেছে। CDumper এবং EDumper এর মতো, MKGও ব্রাউজার থেকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড, ব্রাউজিং ইতিহাস এবং কুকি চুরি করতে সক্ষম হয়েছিল। এই Chrome ডেটা ডাম্পারটি সাধারণত নিম্নলিখিত ফাইল অবস্থানগুলিতে স্থাপন করা হয় (প্রথম অবস্থানটি সবচেয়ে সাধারণ):
- %USERS%public programsvmwaredir mkc.exe
- %USERS%PublicM64.exe
উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার চুরিকারী
ব্রাউজার-ডেটা ডাম্পিং টুল ছাড়াও, অয়েলরিগ জুসি মিক্স ক্যাম্পেইনে উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার স্টিলার ব্যবহার করেছে। এই টুলটি উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার থেকে শংসাপত্র চুরি করে, এবং CDumper এবং EDumper এর মতো, সেগুলিকে সঞ্চয় করে % টেম্প% ডিরেক্টরি - এই সময় নামের একটি ফাইলে IUpdate
(তাই নাম IDumper)। CDumper এবং EDumper এর বিপরীতে, IDumper একটি PowerShell স্ক্রিপ্ট হিসাবে প্রয়োগ করা হয়।
ব্রাউজার ডাম্পার সরঞ্জামগুলির মতো, অয়েলরিগের পক্ষে উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার থেকে শংসাপত্র সংগ্রহ করা অস্বাভাবিক নয়। পূর্বে, OilRig এর অপারেটরদের VALUEVAULT ব্যবহার করে পর্যবেক্ষণ করা হয়েছিল, a জনসাধারণের জন্য উন্মুক্ত, গো-কম্পাইল করা শংসাপত্র-চুরির টুল (দেখুন 2019 হার্ডপাস প্রচারাভিযান এবং একটি 2020 প্রচারণা), একই উদ্দেশ্যে।
উপসংহার
OilRig রিমোট সিস্টেমে কমান্ড চালানোর নতুন উপায় খুঁজে বের করার সময় ব্যাকডোরের মতো ক্ষমতার সাথে নতুন ইমপ্লান্ট উদ্ভাবন এবং তৈরি করে চলেছে। গ্রুপটি তার C#/.NET সোলার ব্যাকডোর আউটার স্পেস ক্যাম্পেইন থেকে উন্নত করেছে যাতে জুসি মিক্স ক্যাম্পেইনের জন্য ম্যাঙ্গো নামে একটি নতুন ব্যাকডোর তৈরি করা হয়। গ্রুপটি কাস্টম পোস্ট-কম্প্রোমাইজ টুলের একটি সেট স্থাপন করে যা প্রধান ব্রাউজার এবং উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার থেকে শংসাপত্র, কুকি এবং ব্রাউজিং ইতিহাস সংগ্রহ করতে ব্যবহৃত হয়। এই উদ্ভাবন সত্ত্বেও, OilRig ব্যবহারকারীর ডেটা প্রাপ্ত করার জন্য প্রতিষ্ঠিত উপায়গুলির উপর নির্ভর করে চলেছে।
WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.
আইওসি
নথি পত্র
রয়েছে SHA-1 |
ফাইলের নাম |
ESET সনাক্তকরণের নাম |
বিবরণ |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
ম্যাক্রো ড্রপিং ম্যাঙ্গো সহ ডকুমেন্ট। |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
ভিবিএস ড্রপার। |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
সোলার ব্যাকডোর। |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
ম্যাঙ্গো ব্যাকডোর (v1.0.0)। |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
ম্যাঙ্গো ব্যাকডোর (v1.1.1)। |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
এজ ডাটা ডাম্পার। |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
ক্রোম ডেটা ডাম্পার। |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার ডাম্পার। |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG - ক্রোম ডেটা ডাম্পার। |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG - ক্রোম ডেটা ডাম্পার। |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG - ক্রোম ডেটা ডাম্পার। |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k ডাউনলোডার (32-বিট সংস্করণ)। |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k ডাউনলোডার (64-বিট সংস্করণ)। |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k ডাউনলোডার (64-বিট সংস্করণ)। |
নেটওয়ার্ক
IP |
ডোমেইন |
হোস্টিং প্রদানকারী |
প্রথম দেখা |
বিস্তারিত |
199.102.48[।]42 |
tecforsc-001-site1.gtempurl[.]com |
মারকুইসনেট |
2022-07-29 |
N / A |
মিটার ATT এবং CK কৌশল
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 13 সংস্করণ মিটার ATT এবং CK কাঠামোর।
যুদ্ধকৌশল |
ID |
নাম |
বিবরণ |
রিসোর্স ডেভলপমেন্ট |
আপস পরিকাঠামো: সার্ভার |
আউটার স্পেস এবং জুসি মিক্স উভয় প্রচারেই, অয়েলরিগ দূষিত সরঞ্জাম এবং C&C যোগাযোগের জন্য বৈধ ওয়েবসাইটগুলির সাথে আপস করেছে। |
|
সক্ষমতা বিকাশ: ম্যালওয়্যার |
OilRig কাস্টম ব্যাকডোর (সোলার এবং ম্যাঙ্গো), একটি ডাউনলোডার (SC5k), এবং তার ক্রিয়াকলাপে ব্যবহারের জন্য শংসাপত্র-চুরির সরঞ্জামগুলির একটি সেট তৈরি করেছে। |
||
পর্যায় ক্ষমতা: ম্যালওয়্যার আপলোড করুন |
OilRig তার C&C সার্ভারে দূষিত উপাদান আপলোড করেছে, এবং প্রিস্টেজেড ফাইল এবং কমান্ড সংরক্ষণ করেছে ড্রাফ্ট্ খেলা ডাউনলোড এবং চালানোর জন্য SC365k-এর জন্য একটি Office 5 অ্যাকাউন্টের ইমেল ডিরেক্টরি। |
||
পর্যায় ক্ষমতা: আপলোড টুল |
OilRig তার C&C সার্ভারে দূষিত সরঞ্জাম আপলোড করেছে এবং প্রিস্টেজেড ফাইলগুলি সংরক্ষণ করেছে ড্রাফ্ট্ খেলা ডাউনলোড এবং চালানোর জন্য SC365k-এর জন্য একটি Office 5 অ্যাকাউন্টের ইমেল ডিরেক্টরি। |
||
প্রাথমিক অ্যাক্সেস |
ফিশিং: স্পিয়ারফিশিং সংযুক্তি |
OilRig সম্ভবত তাদের ভিবিএস ড্রপার সংযুক্ত করে ফিশিং ইমেলের মাধ্যমে তার আউটার স্পেস এবং জুসি মিক্স প্রচারাভিযান বিতরণ করেছে। |
|
ফাঁসি |
নির্ধারিত কাজ/চাকরি: নির্ধারিত কাজ |
OilRig-এর IDumper, EDumper, এবং CDumper টুলগুলি নামের নির্ধারিত কাজগুলি ব্যবহার করে অর্থাৎ, এড , এবং cu অন্য ব্যবহারকারীদের প্রেক্ষাপটে নিজেদেরকে কার্যকর করতে। সৌর এবং আম একটি টাইমারে একটি C#/.NET টাস্ক ব্যবহার করে পুনরাবৃত্তভাবে তাদের প্রধান ফাংশনগুলি সম্পাদন করে। |
|
কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: পাওয়ারশেল |
OilRig এর IDumper টুল কার্যকর করার জন্য PowerShell ব্যবহার করে। |
||
কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: উইন্ডোজ কমান্ড শেল |
OilRig এর Solar, SC5k, IDumper, EDumper, এবং CDumper ব্যবহার cmd.exe সিস্টেমে কাজ চালানোর জন্য। |
||
কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: ভিজ্যুয়াল বেসিক |
OilRig এর সোলার এবং ম্যাঙ্গো ব্যাকডোর ডেলিভারি এবং টিকে থাকার জন্য একটি ক্ষতিকারক VBScript ব্যবহার করে। |
||
নেটিভ এপিআই |
OilRig এর ম্যাঙ্গো ব্যাকডোর ব্যবহার করে প্রক্রিয়া তৈরি করুন এক্সিকিউশনের জন্য উইন্ডোজ এপিআই। |
||
অধ্যবসায় |
নির্ধারিত কাজ/চাকরি: নির্ধারিত কাজ |
OilRig এর VBS ড্রপার নামের একটি টাস্ক নির্ধারণ করে রিমাইন্ডার টাস্ক আমের পিছনের দরজার জন্য অধ্যবসায় প্রতিষ্ঠা করতে। |
|
প্রতিরক্ষা ফাঁকি |
মাস্করাডিং: বৈধ নাম বা অবস্থানের সাথে মিল করুন |
OilRig ডিফেন্ডার এবং নিরাপত্তা সফ্টওয়্যার থেকে নিজেকে ছদ্মবেশ দিতে তার ম্যালওয়্যারের জন্য বৈধ বা নিরীহ ফাইলের নাম ব্যবহার করে। |
|
অস্পষ্ট ফাইল বা তথ্য: সফ্টওয়্যার প্যাকিং |
অয়েলরিগ ব্যবহার করেছে SAPIEN স্ক্রিপ্ট প্যাকেজার এবং SmartAssembly obfuscator এর IDumper টুলকে অস্পষ্ট করতে। |
||
অস্পষ্ট ফাইল বা তথ্য: এমবেডেড পেলোড |
OilRig-এর VBS ড্রপারগুলির মধ্যে দূষিত পেলোডগুলি বেস64 সাবস্ট্রিংগুলির একটি সিরিজ হিসাবে এমবেড করা আছে৷ |
||
Masquerading: Masquerade টাস্ক বা পরিষেবা |
বৈধ দেখানোর জন্য, আমের ভিবিএস ড্রপার বর্ণনা সহ একটি টাস্ক নির্ধারণ করে একটি নির্দিষ্ট সময়ে নোটপ্যাড শুরু করুন. |
||
সূচক অপসারণ: পরিষ্কার অধ্যবসায় |
OilRig-এর পোস্ট-কম্প্রোমাইজ টুলগুলি একটি নির্দিষ্ট সময়ের পরে তাদের নির্ধারিত কাজগুলি মুছে দেয়। |
||
Deobfuscate/ডিকোড ফাইল বা তথ্য |
OilRig তার স্ট্রিং এবং এমবেডেড পেলোডগুলিকে রক্ষা করার জন্য বেশ কয়েকটি অস্পষ্ট পদ্ধতি ব্যবহার করে। |
||
সাবভার্ট ট্রাস্ট কন্ট্রোল |
SC5k অফিস 365 ব্যবহার করে, সাধারণত একটি বিশ্বস্ত তৃতীয় পক্ষ এবং প্রায়ই ডিফেন্ডারদের দ্বারা উপেক্ষা করা হয়, একটি ডাউনলোড সাইট হিসাবে। |
||
দুর্বল প্রতিরক্ষা |
OilRig এর ম্যাঙ্গো ব্যাকডোরে একটি (এখনও পর্যন্ত) অব্যবহৃত ক্ষমতা রয়েছে যা নির্দিষ্ট প্রক্রিয়াগুলিতে তাদের ব্যবহারকারী-মোড কোড লোড করা থেকে শেষ পয়েন্ট সুরক্ষা সমাধানগুলিকে ব্লক করতে পারে। |
||
শংসাপত্র অ্যাক্সেস |
পাসওয়ার্ড স্টোর থেকে শংসাপত্র: ওয়েব ব্রাউজার থেকে শংসাপত্র |
OilRig-এর কাস্টম টুল MKG, CDumper, এবং EDumper ক্রোম এবং এজ ব্রাউজার থেকে শংসাপত্র, কুকি এবং ব্রাউজিং ইতিহাস পেতে পারে। |
|
পাসওয়ার্ড স্টোর থেকে শংসাপত্র: উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার |
OilRig এর কাস্টম ক্রেডেনশিয়াল ডাম্পিং টুল IDumper উইন্ডোজ ক্রেডেনশিয়াল ম্যানেজার থেকে শংসাপত্র চুরি করতে পারে। |
||
আবিষ্কার |
সিস্টেম তথ্য আবিষ্কার |
আপোষকৃত কম্পিউটার নামটি আম পায়। |
|
ফাইল এবং ডিরেক্টরি আবিষ্কার |
একটি নির্দিষ্ট ডিরেক্টরির বিষয়বস্তু গণনা করার জন্য আমের একটি কমান্ড রয়েছে। |
||
সিস্টেমের মালিক/ব্যবহারকারী আবিষ্কার |
আম শিকারের ব্যবহারকারীর নাম পায়। |
||
অ্যাকাউন্ট আবিষ্কার: স্থানীয় অ্যাকাউন্ট |
OilRig এর EDumper, CDumper, এবং IDumper টুলগুলি আপস করা হোস্টে সমস্ত ব্যবহারকারীর অ্যাকাউন্ট গণনা করতে পারে। |
||
ব্রাউজার তথ্য আবিষ্কার |
MKG Chrome ইতিহাস এবং বুকমার্ক ডাম্প করে। |
||
কমান্ড এবং কন্ট্রোল |
অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ওয়েব প্রোটোকল |
আম C&C যোগাযোগে HTTP ব্যবহার করে। |
|
ইনগ্রেস টুল ট্রান্সফার |
পরবর্তী কার্য সম্পাদনের জন্য C&C সার্ভার থেকে অতিরিক্ত ফাইল ডাউনলোড করার ক্ষমতা আমের রয়েছে। |
||
ডেটা অস্পষ্টতা |
সোলার এবং SC5k বিশ্রামে এবং ট্রানজিটে ডেটা অস্পষ্ট করতে জিজিপ কম্প্রেশন সহ একটি সাধারণ XOR-এনক্রিপশন পদ্ধতি ব্যবহার করে। |
||
ওয়েব সার্ভিস: দ্বিমুখী যোগাযোগ |
SC5k থেকে ফাইল ডাউনলোড করতে এবং ফাইল আপলোড করার জন্য Office 365 ব্যবহার করে ড্রাফ্ট্ খেলা একটি বৈধ ইমেল অ্যাকাউন্টে ডিরেক্টরি। |
||
ডেটা এনকোডিং: স্ট্যান্ডার্ড এনকোডিং |
Solar, Mango, এবং MKG base64 ডেটা C&C সার্ভারে পাঠানোর আগে ডিকোড করে। |
||
এনক্রিপ্ট করা চ্যানেল: সিমেট্রিক ক্রিপ্টোগ্রাফি |
আম কী সহ একটি XOR সাইফার ব্যবহার করে প্রশ্ন এবং 4 গ্রাম C&C যোগাযোগে ডেটা এনক্রিপ্ট করতে। |
||
এনক্রিপ্ট করা চ্যানেল: অসমমিত ক্রিপ্টোগ্রাফি |
আম C&C যোগাযোগের জন্য TLS ব্যবহার করে। |
||
বহিষ্কার |
C2 চ্যানেল ওভার এক্সফিল্ট্রেশন |
আম, সৌর, এবং SC5k তাদের সিএন্ডসি চ্যানেলগুলি এক্সফিল্ট্রেশনের জন্য ব্যবহার করে। |
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- সক্ষম
- সম্পর্কে
- উপরে
- হিসাব
- অ্যাকাউন্টস
- কর্ম
- সক্রিয়
- সক্রিয়ভাবে
- ক্রিয়াকলাপ
- অভিনেতা
- যোগ
- যোগ
- অতিরিক্ত
- উপরন্তু
- ঠিকানা
- ঠিকানাগুলি
- যোগ করে
- পর
- পরে
- বিরুদ্ধে
- প্রতিনিধি
- উপলক্ষিত
- সব
- অনুমতি
- কারো
- বরাবর
- এর পাশাপাশি
- বর্ণমালা
- এছাড়াও
- মধ্যে
- an
- বিশ্লেষণ
- বিশ্লেষণ
- এবং
- অন্য
- কোন
- API
- API গুলি
- প্রদর্শিত
- মনে হচ্ছে,
- ফলিত
- APT
- আরব
- আরব আমিরাত
- সংরক্ষাণাগার
- রয়েছি
- আর্গুমেন্ট
- বিন্যাস
- AS
- একত্র
- সমাবেশ
- জ্যোতির্বিদ্যা
- At
- আক্রমন
- অটোমেটেড
- স্বয়ংক্রিয়ভাবে
- পিছনের দরজা
- পিছনে
- পটভূমি
- ভিত্তি
- মৌলিক
- BE
- হয়েছে
- আগে
- শুরু হয়
- পিছনে
- হচ্ছে
- নিচে
- ব্যতীত
- মধ্যে
- বাধা
- শরীর
- বুকমার্ক
- উভয়
- ব্রাউজার
- ব্রাউজার
- ব্রাউজিং
- নির্মিত
- ব্যবসায়
- কিন্তু
- by
- কল
- নামক
- কল
- ক্যাম্পেইন
- প্রচারাভিযান
- CAN
- ক্ষমতা
- সামর্থ্য
- বাহিত
- কেস
- কিছু
- পরিবর্তন
- পরিবর্তিত
- পরিবর্তন
- চ্যানেল
- চ্যানেল
- চরিত্রগত
- অক্ষর
- রাসায়নিক
- পছন্দ
- বেছে
- ক্রৌমিয়াম
- গোল্লা
- পরিষ্কার
- কোড
- সংগ্রহ করা
- সংগ্রহ
- এর COM
- মিলিত
- সাধারণ
- সাধারণভাবে
- যোগাযোগ
- যোগাযোগ
- যোগাযোগমন্ত্রী
- কোম্পানির
- উপাদান
- আপস
- সংকটাপন্ন
- কম্পিউটার
- কনফিগারেশন
- অনুমোদন
- সংযোগ করা
- সংযোগ স্থাপন করে
- যোগাযোগ
- ধারণ করা
- বিষয়বস্তু
- প্রসঙ্গ
- অব্যাহত
- চলতে
- ধর্মান্তরিত
- বিস্কুট
- পারা
- সৃষ্টি
- সৃষ্টি
- তৈরি করা হচ্ছে
- সৃষ্টি
- ক্রেডিটেনটিয়াল
- পরিচয়পত্র
- বর্তমান
- প্রথা
- উপাত্ত
- ডাটাবেস
- ডিক্রিপ্ট করুন
- রক্ষাকর্মীদের
- প্রদান করা
- স্থাপন
- মোতায়েন
- মোতায়েন
- স্থাপন
- উদ্ভূত
- বর্ণিত
- বিবরণ
- সত্ত্বেও
- বিশদ
- সনাক্ত
- সনাক্তকরণ
- উন্নত
- বিভিন্ন
- আবিষ্কৃত
- আবিষ্কার
- প্রদর্শিত
- বণ্টিত
- ভাগ
- দলিল
- না
- ডাউনলোড
- ডাউনলোড
- খসড়া
- ড্রপ
- বাদ
- বাতিল
- ড্রপ
- মনমরা ভাব
- প্রতি
- পূর্বে
- পূর্ব
- পূর্ব
- প্রান্ত
- পারেন
- ইমেইল
- ইমেল
- এম্বেড করা
- আমিরাত
- নিযুক্ত
- সক্ষম করা
- এনক্রিপ্ট করা
- এনক্রিপশন
- শেষপ্রান্ত
- এন্ডপয়েন্ট নিরাপত্তা
- শক্তি
- প্রলুব্ধকর
- গুপ্তচরবৃত্তি
- স্থাপন করা
- প্রতিষ্ঠিত
- ছল
- প্রতি
- উদাহরণ
- বিনিময়
- কেবলমাত্র
- এক্সিকিউট
- নিষ্পন্ন
- executes
- নির্বাহ
- ফাঁসি
- বহিষ্কার
- চায়ের
- নকল
- ফাইল
- নথি পত্র
- পরিশেষে
- আর্থিক
- আবিষ্কার
- তথ্যও
- প্রথম
- মানানসই
- প্রবাহ
- কেন্দ্রবিন্দু
- গুরুত্ত্ব
- অনুসরণ
- অনুসরণ
- জন্য
- বিন্যাস
- পাওয়া
- ফ্রেমওয়ার্ক
- থেকে
- 2021 থেকে
- ক্রিয়া
- বৈশিষ্ট্য
- কার্যকারিতা
- ক্রিয়াকলাপ
- অধিকতর
- ভবিষ্যৎ
- জমায়েত
- সাধারণত
- উত্পন্ন
- উত্পন্ন
- বিশ্বব্যাপী
- লক্ষ্য
- গুগল
- Google Chrome
- সরকার
- সরকার
- গ্রুপ
- গ্রুপের
- হ্যান্ডলগুলি
- কাটা
- আছে
- স্বাস্থ্যসেবা
- অত: পর
- এখানে
- HEX
- লুকান
- ইতিহাস
- আঙ্গুলসমূহ
- নিমন্ত্রণকর্তা
- কিভাবে
- এইচটিএমএল
- HTTP
- HTTPS দ্বারা
- মানবীয়
- মানব সম্পদ
- ID
- অভিন্ন
- আইডেন্টিফায়ার
- if
- ভাবমূর্তি
- বাস্তবায়িত
- সরঁজাম
- উন্নত
- in
- অন্তর্ভুক্ত করা
- সুদ্ধ
- প্রকৃতপক্ষে
- তথ্য
- তথ্য
- পরিকাঠামো
- প্রারম্ভিক
- পরিবর্তন করা
- প্রবর্তিত
- অনুসন্ধান
- ইনস্টল
- পরিবর্তে
- নির্দেশাবলী
- বুদ্ধিমত্তা
- অভ্যন্তরীণ
- মধ্যে
- উপস্থাপিত
- ইরান
- ইসরাইল
- IT
- এর
- নিজেই
- কাজ
- JSON
- জুলাই
- মাত্র
- পালন
- চাবি
- পরিচিত
- গত
- চালু
- স্তর
- অন্তত
- লেবানন
- বাম
- বৈধ
- মত
- সম্ভবত
- লাইন
- LINK
- লিঙ্কডইন
- তালিকা
- তালিকাভুক্ত
- তালিকা
- পাখি
- বোঝাই
- স্থানীয়
- অবস্থান
- অবস্থানগুলি
- লগ ইন করুন
- দীর্ঘ
- খুঁজছি
- মেশিন
- ম্যাক্রো
- ম্যাক্রো
- প্রধান
- মুখ্য
- ম্যালওয়্যার
- পরিচালক
- জাতের বড়ো সামুদ্রিক মাছ
- ছদ্মবেশ
- ম্যাচ
- MD5
- পদ্ধতি
- স্মৃতি
- উল্লিখিত
- বার্তা
- বার্তা
- মেটাডাটা
- পদ্ধতি
- পদ্ধতি
- মাইক্রোসফট
- মধ্যম
- মধ্যপ্রাচ্যে
- MILAN
- মিলিসেকেন্ড
- মিনিট
- মিশ্রিত করা
- মোড
- পরন্তু
- সেতু
- অধিকাংশ ক্ষেত্রে
- প্যাচসমূহ
- বহু
- নাম
- নামে
- যথা
- নাম
- নামকরণ
- জাতীয়
- স্থানীয়
- নেট
- তবু
- নতুন
- পরবর্তী
- nst
- না।
- স্মরণীয়
- লক্ষণীয়ভাবে
- সংখ্যা
- সংখ্যার
- প্রাপ্ত
- পায়
- ঘটেছে
- of
- অফার
- দপ্তর
- প্রায়ই
- on
- ONE
- কেবল
- অপারেশনস
- অপারেটরদের
- পছন্দ
- or
- ক্রম
- সংগঠন
- সংগঠন
- অন্যান্য
- আমাদের
- বাইরে
- মহাশূন্য
- আউটপুট
- শেষ
- অগ্রাহ্য করা
- ওভারভিউ
- পৃষ্ঠা
- স্থিতিমাপ
- পরামিতি
- পার্টি
- পাসওয়ার্ড
- পাসওয়ার্ড
- পথ
- পিডিএফ
- করণ
- কাল
- অধ্যবসায়
- ফিশিং
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- দয়া করে
- বিন্দু
- পয়েন্ট
- পোর্টাল
- অবস্থান
- সম্ভবত
- পোস্ট
- শক্তির উৎস
- কার্যকরীভাবে
- পূর্বপুরুষ
- আগে
- পূর্বে
- প্রাথমিক
- ব্যক্তিগত
- সম্ভবত
- প্রক্রিয়া
- প্রক্রিয়াকৃত
- প্রসেস
- পণ্য
- রক্ষা করা
- প্রোটোকল
- প্রদান
- প্রকাশিত
- উদ্দেশ্য
- প্রশ্নের
- এলোমেলো
- বরং
- পড়া
- গৃহীত
- সাম্প্রতিক
- খাতা
- সংশ্লিষ্ট
- নির্ভর করা
- দূরবর্তী
- অপসারণ
- অপসারিত
- প্রতিস্থাপিত
- রিপোর্ট
- প্রতিবেদন
- অনুরোধ
- গবেষণা
- গবেষকরা
- Resources
- যথাক্রমে
- প্রতিক্রিয়া
- দায়ী
- বিশ্রাম
- ফলে এবং
- ফলাফল
- প্রত্যাবর্তন
- এখানে ক্লিক করুন
- তামাশা
- চালান
- দৌড়
- s
- একই
- সংরক্ষণ করুন
- সংরক্ষিত
- রক্ষা
- করাত
- তফসিল
- তালিকাভুক্ত
- পরিকল্পনা
- স্কিম
- লিপি
- সাগর
- দ্বিতীয়
- সেকেন্ড
- অধ্যায়
- সেক্টর
- নিরাপত্তা
- দেখ
- দেখা
- নির্বাচিত
- নির্বাচন
- পাঠানোর
- পাঠায়
- প্রেরিত
- ক্রম
- পরিবেশন করা
- সার্ভার
- সার্ভারের
- সেবা
- সেবা
- সেট
- বিভিন্ন
- হাঙ্গর
- খোল
- প্রদর্শিত
- শো
- অনুরূপ
- মিল
- সহজ
- থেকে
- সাইট
- ছোট
- So
- সফটওয়্যার
- সৌর
- সলিউশন
- কিছু
- স্থান
- নির্দিষ্ট
- নিদিষ্ট
- বিস্তার
- স্ট্যাক
- পর্যায়
- উপস্থাপনকারী
- মান
- শুরু
- স্টিলস
- ধাপ
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- অপহৃত
- থামুন
- সঞ্চিত
- দোকান
- স্ট্রিং
- পরবর্তী
- পরবর্তীকালে
- এমন
- সমর্থন
- সুইচ
- প্রতীক
- পদ্ধতি
- সিস্টেম
- টেবিল
- ধরা
- লাগে
- লক্ষ্য
- লক্ষ্যবস্তু
- লক্ষ্য করে
- লক্ষ্যমাত্রা
- কার্য
- কাজ
- কারিগরী
- প্রযুক্তিগত বিশ্লেষণ
- টেলিযোগাযোগ
- চেয়ে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- নিজেদের
- তারপর
- সেখানে।
- এইগুলো
- তারা
- কিছু
- তৃতীয়
- এই
- হুমকি
- হুমকি অভিনেতা
- হুমকি রিপোর্ট
- সর্বত্র
- এইভাবে
- অনুপ্রস্থ
- টাইস
- সময়
- শিরনাম
- থেকে
- টুল
- সরঞ্জাম
- শীর্ষ
- পরিবহন
- পরিবহন
- আস্থা
- বিশ্বস্ত
- দুই
- আদর্শ
- টিপিক্যাল
- সাধারণত
- বিরল
- অধীনে
- অবিভক্ত
- সংযুক্ত আরব
- সংযুক্ত আরব আমিরাত
- অসদৃশ
- অব্যবহৃত
- আপডেট
- আপলোড করা
- আপলোড
- উপরে
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- v1
- মূল্য
- মানগুলি
- পরিবর্তনশীল
- বৈচিত্র্য
- বিভিন্ন
- সংস্করণ
- সংস্করণ সংক্রান্ত তথ্য
- সংস্করণ
- উল্লম্ব
- খুব
- মাধ্যমে
- শিকার
- ক্ষতিগ্রস্তদের
- দেখুন
- পরিদর্শন
- সতর্কবার্তা
- ছিল
- উপায়
- we
- ওয়েব
- ওয়েব সার্ভার
- ওয়েব সার্ভিস
- ওয়েবসাইট
- ওয়েবসাইট
- আমরা একটি
- ছিল
- যে
- যখন
- সমগ্র
- প্রস্থ
- ইচ্ছা
- জানালা
- সঙ্গে
- মধ্যে
- শব্দ
- কর্মপ্রবাহ
- কাজ
- লেখা
- লিখিত
- হাঁ
- এখনো
- zephyrnet