ESET গবেষকরা ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতের বিভিন্ন সত্তাকে লক্ষ্য করে একটি ব্যালিস্টিক ববক্যাট প্রচারণা আবিষ্কার করেছেন, একটি অভিনব ব্যাকডোর ব্যবহার করে যার নাম আমরা স্পনসর করেছি৷
2022 সালের মে মাসে ইসরায়েলে একজন শিকারের সিস্টেমে আমরা শনাক্ত করা একটি আকর্ষণীয় নমুনা বিশ্লেষণ করার পরে এবং দেশ অনুসারে শিকারের স্কোপ করার পরে আমরা স্পনসরকে আবিষ্কার করেছি। পরীক্ষা করার পরে, এটি আমাদের কাছে স্পষ্ট হয়ে ওঠে যে নমুনাটি ব্যালিস্টিক ববক্যাট এপিটি গ্রুপ দ্বারা নিযুক্ত একটি অভিনব ব্যাকডোর ছিল।
ব্যালিস্টিক ববক্যাট, পূর্বে ESET রিসার্চ APT35/APT42 (ওরফে চার্মিং কিটেন, TA453, বা PHOSPHORUS) হিসাবে ট্র্যাক করেছিল, সন্দেহভাজন ইরান-সংযুক্ত উন্নত ক্রমাগত হুমকি গোষ্ঠী যা শিক্ষা, সরকার এবং স্বাস্থ্যসেবা সংস্থার পাশাপাশি মানবাধিকার কর্মী এবং সাংবাদিকদের লক্ষ্য করে। এটি ইসরায়েল, মধ্যপ্রাচ্য এবং মার্কিন যুক্তরাষ্ট্রে সবচেয়ে বেশি সক্রিয়। উল্লেখযোগ্যভাবে, মহামারী চলাকালীন, এটি বিশ্ব স্বাস্থ্য সংস্থা এবং গিলিয়েড ফার্মাসিউটিক্যালস এবং চিকিৎসা গবেষণা কর্মীদের সহ COVID-19-সম্পর্কিত সংস্থাগুলিকে লক্ষ্য করে।
ব্যালিস্টিক ববক্যাট প্রচারণার মধ্যে ওভারল্যাপ এবং পৃষ্ঠপোষক ব্যাকডোর সংস্করণগুলি সীমিত সময়কালের প্রতিটি সংকীর্ণভাবে লক্ষ্যযুক্ত প্রচারাভিযান সহ, সরঞ্জাম বিকাশ এবং স্থাপনার একটি মোটামুটি স্পষ্ট প্যাটার্ন দেখায়। আমরা পরবর্তীতে স্পন্সর ব্যাকডোরের আরও চারটি সংস্করণ আবিষ্কার করেছি। মোট, আমরা ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতে কমপক্ষে 34 জন ক্ষতিগ্রস্তের জন্য স্পন্সর মোতায়েন দেখেছি, যেমনটি উল্লেখ করা হয়েছে REF _Ref143075975 জ ব্যক্তিত্ব 1
.
এই ব্লগপোস্টের মূল পয়েন্ট:
- আমরা ব্যালিস্টিক ববক্যাট দ্বারা স্থাপন করা একটি নতুন ব্যাকডোর আবিষ্কার করেছি যা আমরা পরবর্তীতে স্পনসর নাম দিয়েছি।
- ব্যালিস্টিক ববক্যাট 2021 সালের সেপ্টেম্বরে নতুন ব্যাকডোর মোতায়েন করেছিল, যখন এটি CISA Alert AA21-321A এবং পাওয়ারলেস প্রচারাভিযানে নথিভুক্ত প্রচারাভিযান গুটিয়ে নিচ্ছিল।
- স্পনসর ব্যাকডোর ডিস্কে সংরক্ষিত কনফিগারেশন ফাইল ব্যবহার করে। এই ফাইলগুলিকে সতর্কতার সাথে ব্যাচ ফাইলগুলি দ্বারা স্থাপন করা হয় এবং ইচ্ছাকৃতভাবে নির্দোষ দেখানোর জন্য ডিজাইন করা হয়, যার ফলে ইঞ্জিন স্ক্যান করে সনাক্তকরণ এড়ানোর চেষ্টা করা হয়।
- ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতে কমপক্ষে 34 ভুক্তভোগীর জন্য স্পনসর নিযুক্ত করা হয়েছিল; আমরা এই কার্যকলাপের নাম দিয়েছি স্পনসরিং অ্যাক্সেস ক্যাম্পেইন।
প্রাথমিক অ্যাক্সেস
ব্যালিস্টিক ববক্যাট ইন্টারনেট-উন্মুক্ত মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারে পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে প্রাথমিক অ্যাক্সেস পেয়েছে সম্ভাব্য দুর্বলতা বা দুর্বলতাগুলি সনাক্ত করতে সিস্টেম বা নেটওয়ার্কের সূক্ষ্ম স্ক্যান পরিচালনা করে এবং পরবর্তীতে চিহ্নিত দুর্বলতাগুলিকে লক্ষ্য করে এবং শোষণ করে৷ দলটি কিছু সময়ের জন্য এই আচরণে জড়িত বলে জানা গেছে। যাইহোক, ESET টেলিমেট্রিতে চিহ্নিত 34 ভুক্তভোগীদের মধ্যে অনেককে পূর্বনির্বাচিত এবং গবেষণা করা শিকারের পরিবর্তে সুযোগের শিকার হিসাবে বর্ণনা করা যেতে পারে, কারণ আমরা সন্দেহ করি ব্যালিস্টিক ববক্যাট উপরে বর্ণিত স্ক্যান-এবং-শোষণ আচরণে জড়িত কারণ এটি একমাত্র হুমকি ছিল না। এই সিস্টেম অ্যাক্সেস সঙ্গে অভিনেতা. আমরা এই ব্যালিস্টিক ববক্যাট কার্যকলাপের নাম দিয়েছি স্পনসর ব্যাকডোর স্পন্সরিং অ্যাক্সেস ক্যাম্পেইন ব্যবহার করে।
স্পনসর ব্যাকডোর ডিস্কে কনফিগারেশন ফাইল ব্যবহার করে, ব্যাচ ফাইল দ্বারা ড্রপ করা হয় এবং উভয়ই নিরীহ যাতে স্ক্যানিং ইঞ্জিনগুলিকে বাইপাস করা যায়। এই মডুলার পদ্ধতিটি এমন একটি যা ব্যালিস্টিক ববক্যাট গত আড়াই বছরে প্রায়শই এবং শালীন সাফল্যের সাথে ব্যবহার করেছে। আপোসকৃত সিস্টেমে, ব্যালিস্টিক ববক্যাট বিভিন্ন ধরনের ওপেন-সোর্স টুল ব্যবহার করে চলেছে, যা আমরা এই ব্লগপোস্টে বর্ণনা করেছি – স্পন্সর ব্যাকডোর সহ।
Victimology
34 ভুক্তভোগীদের একটি উল্লেখযোগ্য সংখ্যাগরিষ্ঠ ইস্রায়েলে অবস্থিত, শুধুমাত্র দুটি অন্যান্য দেশে অবস্থিত:
- ব্রাজিল, একটি চিকিৎসা সমবায় এবং স্বাস্থ্য বীমা অপারেটর, এবং
- সংযুক্ত আরব আমিরাত, একটি অজ্ঞাত সংস্থায়।
REF _Ref112861418 জ টেবিল 1
ইস্রায়েলে ক্ষতিগ্রস্তদের জন্য উল্লম্ব, এবং সাংগঠনিক বিবরণ বর্ণনা করে।
টেবিল SEQ টেবিল * আরবি 1. ইস্রায়েলে ক্ষতিগ্রস্তদের জন্য উল্লম্ব এবং সাংগঠনিক বিবরণ
উল্লম্ব |
বিস্তারিত |
স্বয়ংচালিত |
· একটি স্বয়ংচালিত কোম্পানি কাস্টম পরিবর্তনে বিশেষজ্ঞ। · একটি মোটরগাড়ি মেরামত এবং রক্ষণাবেক্ষণ কোম্পানি। |
যোগাযোগমন্ত্রী |
· একটি ইসরায়েলি সংবাদমাধ্যম। |
প্রকৌশল |
· একটি সিভিল ইঞ্জিনিয়ারিং ফার্ম। · একটি পরিবেশগত প্রকৌশল সংস্থা। · একটি আর্কিটেকচারাল ডিজাইন ফার্ম। |
অর্থনৈতিক সেবা সমূহ |
· একটি আর্থিক পরিষেবা সংস্থা যা বিনিয়োগ কাউন্সেলিংয়ে বিশেষজ্ঞ। · একটি কোম্পানি যে রয়্যালটি পরিচালনা করে। |
স্বাস্থ্যসেবা |
· একজন চিকিৎসা সেবা প্রদানকারী। |
বীমা |
· একটি বীমা কোম্পানি যা একটি বীমা বাজার পরিচালনা করে। · একটি বাণিজ্যিক বীমা কোম্পানি। |
আইন |
· চিকিৎসা আইনে বিশেষজ্ঞ একটি ফার্ম। |
ম্যানুফ্যাকচারিং |
· একাধিক ইলেকট্রনিক্স উৎপাদনকারী প্রতিষ্ঠান। · একটি কোম্পানি যে ধাতু-ভিত্তিক বাণিজ্যিক পণ্য উত্পাদন করে। · একটি বহুজাতিক প্রযুক্তি উৎপাদনকারী কোম্পানি। |
খুচরা |
· একজন খাদ্য খুচরা বিক্রেতা। · একটি বহুজাতিক হীরা খুচরা বিক্রেতা. · একটি ত্বকের যত্ন পণ্য খুচরা বিক্রেতা. · একটি উইন্ডো চিকিত্সা খুচরা বিক্রেতা এবং ইনস্টলার. · একটি বিশ্বব্যাপী ইলেকট্রনিক যন্ত্রাংশ সরবরাহকারী। · একটি শারীরিক অ্যাক্সেস নিয়ন্ত্রণ সরবরাহকারী। |
প্রযুক্তিঃ |
· একটি আইটি সেবা প্রযুক্তি কোম্পানি। · একটি আইটি সমাধান প্রদানকারী. |
টেলিযোগাযোগ |
· একটি টেলিকমিউনিকেশন কোম্পানি। |
অসনাক্ত |
· একাধিক অজ্ঞাত সংগঠন। |
আরোপণ
2021 সালের আগস্টে, উপরে যে ইসরায়েলি ভিকটিম একটি বীমা মার্কেটপ্লেস পরিচালনা করে তার উপর ব্যালিস্টিক ববক্যাট টুল দিয়ে আক্রমণ করেছিল CISA নভেম্বর 2021 এ রিপোর্ট করেছে. সমঝোতার সূচকগুলি আমরা পর্যবেক্ষণ করেছি:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- গুগল চেঞ্জ ম্যানেজমেন্ট, এবং
- GoogleChangeManagement.xml.
ব্যালিস্টিক ববক্যাট সরঞ্জামগুলি CISA রিপোর্টের মতো একই কমান্ড এবং নিয়ন্ত্রণ (C&C) সার্ভারের সাথে যোগাযোগ করেছে: 162.55.137[।]20.
তারপরে, 2021 সালের সেপ্টেম্বরে, একই শিকার ব্যালিস্টিক ববক্যাট সরঞ্জামগুলির পরবর্তী প্রজন্ম পেয়েছে: পাওয়ারলেস ব্যাকডোর এবং এর সমর্থনকারী টুলসেট। সমঝোতার সূচকগুলি আমরা পর্যবেক্ষণ করেছি:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exe, এবং
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
নভেম্বর 18th, 2021, গ্রুপটি তারপর অন্য একটি টুল স্থাপন করে (প্লিংক) যা CISA রিপোর্টে কভার করা হয়েছিল, যেমন MicrosoftOutLookUpdater.exe. দশদিন পর ২৮ নভেম্বরth, 2021, ব্যালিস্টিক ববক্যাট মোতায়েন মার্লিন এজেন্ট (একটির এজেন্ট অংশ ওপেন সোর্স পোস্ট-শোষণ C&C সার্ভার এবং এজেন্ট Go-তে লেখা) ডিস্কে, এই মার্লিন এজেন্টের নাম ছিল googleUpdate.exe, সরল দৃষ্টিতে লুকানোর জন্য CISA রিপোর্টে বর্ণিত একই নামকরণের রীতি ব্যবহার করে।
মারলিন এজেন্ট একটি মিটারপ্রেটার রিভার্স শেল কার্যকর করেছে যা একটি নতুন C&C সার্ভারে ফিরে এসেছে, 37.120.222[।]168:80. 12 ডিসেম্বরth, 2021, বিপরীত শেল একটি ব্যাচ ফাইল ফেলে দিয়েছে, ব্যাট, এবং ব্যাচ ফাইলটি কার্যকর করার কয়েক মিনিটের মধ্যে, ব্যালিস্টিক ববক্যাট অপারেটররা তাদের নতুন ব্যাকডোর, স্পনসরকে ঠেলে দেয়। এটি ব্যাকডোর তৃতীয় সংস্করণ হতে চালু হবে.
প্রযুক্তিগত বিশ্লেষণ
প্রাথমিক অ্যাক্সেস
আমরা ESET টেলিমেট্রিতে পর্যবেক্ষণ করা 23 জনের মধ্যে 34 জনের প্রাথমিক অ্যাক্সেসের সম্ভাব্য উপায় সনাক্ত করতে সক্ষম হয়েছি। যা রিপোর্ট করা হয়েছে অনুরূপ শক্তিহীন এবং CISA প্রতিবেদনে বলা হয়েছে, ব্যালিস্টিক ববক্যাট সম্ভবত একটি পরিচিত দুর্বলতাকে কাজে লাগিয়েছে, জন্য CVE-2021-26855, মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে এই সিস্টেমগুলিতে একটি পা রাখার জন্য।
16 জনের মধ্যে 34 জনের জন্য, মনে হচ্ছে ব্যালিস্টিক ববক্যাট তাদের সিস্টেমে অ্যাক্সেসের একমাত্র হুমকি অভিনেতা ছিলেন না। এটি ইঙ্গিত দিতে পারে, শিকারের বিস্তৃত বৈচিত্র্য এবং কয়েকজন শিকারের সুস্পষ্ট বুদ্ধিমত্তা মূল্যের আপাত অভাবের সাথে, যে ব্যালিস্টিক ববক্যাট স্ক্যান-এবং-শোষণ আচরণে নিযুক্ত ছিল, পূর্বনির্বাচিত শিকারদের বিরুদ্ধে একটি লক্ষ্যযুক্ত প্রচারণার বিপরীতে।
টুলসেট
ওপেন সোর্স টুলস
ব্যালিস্টিক ববক্যাট স্পন্সরিং অ্যাক্সেস ক্যাম্পেইনের সময় বেশ কয়েকটি ওপেন-সোর্স টুল নিযুক্ত করেছে। এই টুল এবং তাদের ফাংশন তালিকাভুক্ত করা হয় REF _Ref112861458 জ টেবিল 2
.
টেবিল SEQ টেবিল * আরবি 2. ব্যালিস্টিক ববক্যাট দ্বারা ব্যবহৃত ওপেন সোর্স টুল
ফাইলের নাম |
বিবরণ |
host2ip.exe
|
মানচিত্র a একটি IP ঠিকানায় হোস্টনাম স্থানীয় নেটওয়ার্কের মধ্যে। |
CSRSS.EXE
|
RevSocks, একটি বিপরীত টানেল অ্যাপ্লিকেশন. |
mi.exe
|
Mimikatz, এর একটি আসল ফাইলের নাম সহ midongle.exe এবং সঙ্গে বস্তাবন্দী আরমাডিলো পিই প্যাকার. |
gost.exe
|
সরল টানেল যান (গেস্ট), গো-তে লেখা একটি টানেলিং অ্যাপ্লিকেশন। |
chisel.exe
|
বাটালি, SSH স্তরগুলি ব্যবহার করে HTTP-এর উপর একটি TCP/UDP টানেল৷ |
csrss_protected.exe
|
RevSocks টানেল, এর ট্রায়াল সংস্করণ দিয়ে সুরক্ষিত এনিগমা প্রোটেক্টর সফ্টওয়্যার সুরক্ষা. |
plink.exe
|
প্লিংক (PuTTY Link), একটি কমান্ড লাইন সংযোগ টুল। |
WebBrowserPassView.exe
|
A পাসওয়ার্ড পুনরুদ্ধারের সরঞ্জাম ওয়েব ব্রাউজারে সংরক্ষিত পাসওয়ার্ডের জন্য।
|
sqlextractor.exe
|
A টুল এসকিউএল ডাটাবেসের সাথে ইন্টারঅ্যাক্ট করার এবং থেকে ডেটা বের করার জন্য। |
procdump64.exe
|
প্রোকডাম্প, একটি অ্যাপ্লিকেশন নিরীক্ষণ এবং ক্র্যাশ ডাম্প তৈরির জন্য Sysinternals কমান্ড লাইন ইউটিলিটি। |
ব্যাচ ফাইলগুলি
ব্যালিস্টিক ববক্যাট স্পন্সর ব্যাকডোর মোতায়েন করার আগে ব্যাচ ফাইলগুলি ক্ষতিগ্রস্তদের সিস্টেমে স্থাপন করে। আমরা যে ফাইল পাথগুলি সম্পর্কে সচেতন তা হল:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
দুর্ভাগ্যবশত, আমরা এই ব্যাচ ফাইলগুলির কোনোটি পেতে পারিনি৷ যাইহোক, আমরা বিশ্বাস করি যে তারা নিরীহ কনফিগারেশন ফাইলগুলি ডিস্কে লেখে, যা স্পনসর ব্যাকডোর সম্পূর্ণরূপে কাজ করার জন্য প্রয়োজন। এই কনফিগারেশন ফাইলের নামগুলি স্পন্সর ব্যাকডোর থেকে নেওয়া হয়েছিল কিন্তু কখনই সংগ্রহ করা হয়নি:
- config. txt
- node.txt
- error.txt
- আনইনস্টল.ব্যাট
আমরা বিশ্বাস করি যে ব্যাচ ফাইল এবং কনফিগারেশন ফাইলগুলি মডুলার ডেভেলপমেন্ট প্রক্রিয়ার অংশ যা ব্যালিস্টিক ববক্যাট গত কয়েক বছর ধরে সমর্থন করেছে।
পৃষ্ঠপোষক ব্যাকডোর
স্পন্সর ব্যাকডোরগুলি C++ এ লেখা হয়েছে সংকলন টাইমস্ট্যাম্প এবং প্রোগ্রাম ডাটাবেস (PDB) পাথ সহ REF _Ref112861527 জ টেবিল 3
. সংস্করণ সংখ্যার উপর একটি নোট: কলাম সংস্করণ স্পন্সর ব্যাকডোরের রৈখিক অগ্রগতির উপর ভিত্তি করে যে সংস্করণটি আমরা অভ্যন্তরীণভাবে ট্র্যাক করি তা উপস্থাপন করে যেখানে এক সংস্করণ থেকে পরবর্তী সংস্করণে পরিবর্তন করা হয়। দ্য অভ্যন্তরীণ সংস্করণ কলামে প্রতিটি স্পনসরের ব্যাকডোরে পর্যবেক্ষণ করা সংস্করণ নম্বর রয়েছে এবং এই এবং অন্যান্য সম্ভাব্য স্পনসর নমুনাগুলি পরীক্ষা করার সময় তুলনা করার সুবিধার জন্য অন্তর্ভুক্ত করা হয়েছে।
টেবিল 3. স্পনসর সংকলন টাইমস্ট্যাম্প এবং PDBs
সংস্করণ |
অভ্যন্তরীণ সংস্করণ |
সংকলন টাইমস্ট্যাম্প |
পিডিবি |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
স্পনসরের প্রাথমিক সম্পাদনের জন্য রানটাইম আর্গুমেন্ট প্রয়োজন ইনস্টল, যা ছাড়া স্পনসর সুন্দরভাবে প্রস্থান করে, সম্ভবত একটি সাধারণ অ্যান্টি-ইমুলেশন/অ্যান্টি-স্যান্ডবক্স কৌশল। যদি সেই যুক্তিটি পাস হয়, স্পনসর নামে একটি পরিষেবা তৈরি করে সিস্টেম নেটওয়ার্ক (ইন v1) এবং আপডেট (অন্য সব সংস্করণে)। এটা সেবা এর সেট প্রারম্ভকালে টাইপ থেকে স্বয়ংক্রিয়, এবং এটিকে তার নিজস্ব স্পনসর প্রক্রিয়া চালানোর জন্য সেট করে এবং এটিকে সম্পূর্ণ অ্যাক্সেস দেয়। এটি তারপর পরিষেবা শুরু করে।
স্পনসর, এখন একটি পরিষেবা হিসাবে চলছে, পূর্বে ডিস্কে স্থাপন করা পূর্বোক্ত কনফিগারেশন ফাইলগুলি খোলার চেষ্টা করে। এটা খোঁজে config. txt এবং node.txt, উভয়ই বর্তমান কাজের ডিরেক্টরিতে। প্রথমটি অনুপস্থিত থাকলে, স্পনসর পরিষেবাটি সেট করে বন্ধ এবং সুন্দরভাবে প্রস্থান করে।
ব্যাকডোর কনফিগারেশন
স্পনসর এর কনফিগারেশন, সংরক্ষিত config. txt, দুটি ক্ষেত্র রয়েছে:
- কমান্ডের জন্য পর্যায়ক্রমে C&C সার্ভারের সাথে যোগাযোগ করতে সেকেন্ডের মধ্যে একটি আপডেট ব্যবধান।
- C&C সার্ভারের একটি তালিকা, হিসাবে উল্লেখ করা হয় relays এর স্পনসর এর বাইনারি মধ্যে.
C&C সার্ভারগুলি এনক্রিপ্টেড (RC4) সংরক্ষিত থাকে এবং ডিক্রিপশন কী এর প্রথম লাইনে উপস্থিত থাকে config. txt. ডিক্রিপশন কী সহ প্রতিটি ক্ষেত্রের বিন্যাসে দেখানো হয়েছে REF _Ref142647636 জ ব্যক্তিত্ব 3
.
এই সাবফিল্ডগুলি হল:
- config_start: এর দৈর্ঘ্য নির্দেশ করে config_name, যদি উপস্থিত থাকে, অথবা শূন্য, যদি না থাকে। কোথায় জানি পিছনের দরজা দ্বারা ব্যবহৃত config_data শুরু হয়।
- config_len: এর দৈর্ঘ্য config_data.
- config_name: ঐচ্ছিক, কনফিগারেশন ক্ষেত্রে দেওয়া একটি নাম রয়েছে।
- config_data: কনফিগারেশন নিজেই, এনক্রিপ্ট করা (C&C সার্ভারের ক্ষেত্রে) বা না (অন্য সব ক্ষেত্র)।
REF _Ref142648473 জ ব্যক্তিত্ব 4
একটি সম্ভাব্য রঙ-কোডেড বিষয়বস্তু সহ একটি উদাহরণ দেখায় config. txt ফাইল মনে রাখবেন যে এটি একটি প্রকৃত ফাইল নয় যা আমরা পর্যবেক্ষণ করেছি, কিন্তু একটি বানোয়াট উদাহরণ।
শেষ দুটি ক্ষেত্রের মধ্যে config. txt ডেটা এনক্রিপ্ট করার কী হিসাবে নির্দিষ্ট ডিক্রিপশন কী-এর SHA-4 হ্যাশের স্ট্রিং উপস্থাপনা ব্যবহার করে RC256 দিয়ে এনক্রিপ্ট করা হয়। আমরা দেখতে পাচ্ছি যে এনক্রিপ্ট করা বাইটগুলি হেক্স-এনকোডেড ASCII টেক্সট হিসাবে সংরক্ষণ করা হয়েছে।
তথ্য সংগ্রহ হোস্ট
স্পনসর যে হোস্টে এটি চলছে তার তথ্য সংগ্রহ করে, সংগ্রহ করা সমস্ত তথ্য C&C সার্ভারে রিপোর্ট করে এবং একটি নোড আইডি পায়, যা লেখা হয় node.txt. REF _Ref142653641 জ টেবিল 4
REF _Ref112861575 জ
উইন্ডোজ রেজিস্ট্রিতে কী এবং মান তালিকাভুক্ত করে যা স্পনসর তথ্য পেতে ব্যবহার করে এবং সংগৃহীত ডেটার একটি উদাহরণ প্রদান করে।
সারণি 4. স্পনসর দ্বারা সংগৃহীত তথ্য
রেজিস্ট্রি কী |
মূল্য |
উদাহরণ |
HKEY_LOCAL_MACHINESYSTEM কর্নার কন্ট্রোলসেট সার্ভিসসিসিপিপিপ্যারামিটার
|
হোস্টনাম
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
ইসরায়েল মান সময়
|
HKEY_USERS.DEFAULTকন্ট্রোল প্যানেল আন্তর্জাতিক
|
স্থানীয় নাম
|
তিনি-আইএল
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSSBIBIOS
|
বেসবোর্ডপ্রডাক্ট
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProcessorNameString
|
Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMICrosoftWindows NTCurrentVersion
|
পণ্যের নাম
|
উইন্ডোজ এক্সএনইউএমএক্স এন্টারপ্রাইজ এন
|
বর্তমান সংস্করণ
|
6.3
|
|
বর্তমান বিল্ড নম্বর
|
19044
|
|
ইনস্টলেশন প্রকার
|
মক্কেল
|
স্পনসর নিম্নলিখিত ব্যবহার করে হোস্টের উইন্ডোজ ডোমেইন সংগ্রহ করে ডাব্লুএমআইসি কমান্ড প্রয়োগ করুন:
wmic কম্পিউটার সিস্টেম ডোমেইন পায়
সর্বশেষে, স্পনসর বর্তমান ব্যবহারকারীর নাম সংগ্রহ করতে Windows API ব্যবহার করে (GetUserNameW), বর্তমান স্পনসর প্রক্রিয়া একটি 32- বা 64-বিট অ্যাপ্লিকেশন হিসাবে চলছে কিনা তা নির্ধারণ করুন (GetCurrentProcess, তারপর IsWow64Process(বর্তমান প্রক্রিয়া)), এবং সিস্টেমটি ব্যাটারি পাওয়ারে চলছে কিনা বা AC বা DC পাওয়ার সোর্সের সাথে সংযুক্ত কিনা তা নির্ধারণ করে (সিস্টেম পাওয়ার স্ট্যাটাস পান).
32- বা 64-বিট অ্যাপ্লিকেশন চেক সংক্রান্ত একটি অদ্ভুততা হল যে স্পনসরের সমস্ত পর্যবেক্ষণ নমুনা 32-বিট ছিল। এর অর্থ হতে পারে যে পরবর্তী পর্যায়ের কিছু সরঞ্জামের জন্য এই তথ্য প্রয়োজন।
সংগৃহীত তথ্য একটি বেস64-এনকোডেড বার্তায় পাঠানো হয় যা এনকোডিংয়ের আগে শুরু হয় r এবং ফর্ম্যাটে দেখানো হয়েছে REF _Ref142655224 জ ব্যক্তিত্ব 5
.
তথ্য RC4 দিয়ে এনক্রিপ্ট করা হয়েছে, এবং এনক্রিপশন কী হল একটি এলোমেলো নম্বর যা ঘটনাস্থলে তৈরি হয়। কীটি MD5 অ্যালগরিদম দিয়ে হ্যাশ করা হয়েছে, পূর্বে উল্লিখিত SHA-256 নয়। এটি এমন সমস্ত যোগাযোগের ক্ষেত্রে যেখানে স্পনসরকে এনক্রিপ্ট করা ডেটা পাঠাতে হয়।
C&C সার্ভার পরবর্তী যোগাযোগে ভুক্তভোগী কম্পিউটার সনাক্ত করতে ব্যবহৃত একটি নম্বর দিয়ে উত্তর দেয়, যা লেখা হয় node.txt. উল্লেখ্য যে C&C সার্ভার এলোমেলোভাবে তালিকা থেকে নির্বাচিত হয় যখন r বার্তা পাঠানো হয়, এবং একই সার্ভার পরবর্তী সমস্ত যোগাযোগে ব্যবহৃত হয়।
কমান্ড প্রসেসিং লুপ
স্পনসর একটি লুপে কমান্ডের অনুরোধ করে, সংজ্ঞায়িত ব্যবধান অনুযায়ী ঘুমিয়ে config. txt. ধাপগুলো হল:
- একটি প্রেরণ chk=পরীক্ষা C&C সার্ভার উত্তর না দেওয়া পর্যন্ত বারবার বার্তা পাঠান Ok.
- একটি প্রেরণ c (IS_CMD_AVAIL) C&C সার্ভারে বার্তা পাঠান এবং একটি অপারেটর কমান্ড পান।
- কমান্ডটি প্রক্রিয়া করুন।
- C&C সার্ভারে পাঠানোর জন্য আউটপুট থাকলে, একটি পাঠান a (সেটি হল ACK) বার্তা, আউটপুট সহ (এনক্রিপ্ট করা), বা
- যদি মৃত্যুদন্ড ব্যর্থ হয়, একটি পাঠান f
(
ব্যর্থ) বার্তা। ত্রুটি বার্তা পাঠানো হয় না.
- ঘুম.
সার্জারির c বার্তাটি চালানোর জন্য একটি কমান্ডের অনুরোধ করার জন্য পাঠানো হয়, এবং ফর্ম্যাট (বেস64 এনকোডিংয়ের আগে) দেখানো হয় REF _Ref142658017 জ ব্যক্তিত্ব 6
.
সার্জারির এনক্রিপ্ট করা_কোনটি নয় চিত্রের ক্ষেত্রটি হার্ডকোডেড স্ট্রিং এনক্রিপ্ট করার ফলাফল না RC4 সহ। এনক্রিপশনের চাবিকাঠি হল MD5 হ্যাশ node_id.
C&C সার্ভারের সাথে যোগাযোগ করতে ব্যবহৃত URLটি এইভাবে তৈরি করা হয়েছে: http://<IP_or_domain>:80. এটি ইঙ্গিত দিতে পারে 37.120.222[।]168:80 স্পনসরিং অ্যাক্সেস ক্যাম্পেইন জুড়ে ব্যবহৃত একমাত্র C&C সার্ভার, কারণ এটিই একমাত্র আইপি ঠিকানা যা আমরা দেখেছি যে ভিকটিম মেশিনগুলি পোর্ট 80-এ পৌঁছাচ্ছে।
অপারেটর কমান্ড
অপারেটর কমান্ডগুলিকে চিত্রিত করা হয়েছে REF _Ref112861551 জ টেবিল 5
এবং তারা কোডে পাওয়া যায় এমন ক্রমে উপস্থিত হয়। C&C সার্ভারের সাথে যোগাযোগ পোর্ট 80 এর উপরে ঘটে।
সারণি 5. অপারেটর কমান্ড এবং বিবরণ
আদেশ |
বিবরণ |
p |
চলমান স্পনসর প্রক্রিয়ার জন্য প্রক্রিয়া আইডি পাঠায়। |
e |
নিম্নলিখিত স্ট্রিং ব্যবহার করে স্পনসর হোস্টে পরবর্তী অতিরিক্ত আর্গুমেন্টে নির্দিষ্ট করা একটি কমান্ড কার্যকর করে: c:windowssystem32cmd.exe/c > result.txt 2> & 1 ফলাফল সংরক্ষণ করা হয় result.txt বর্তমান কাজের ডিরেক্টরিতে। একটি পাঠায় a সফলভাবে চালানো হলে C&C সার্ভারে এনক্রিপ্ট করা আউটপুট সহ বার্তা। ব্যর্থ হলে, একটি পাঠায় f বার্তা (ত্রুটি উল্লেখ না করে)। |
d |
C&C সার্ভার থেকে একটি ফাইল গ্রহণ করে এবং এটি কার্যকর করে। এই কমান্ডের অনেক আর্গুমেন্ট রয়েছে: ফাইলটি লেখার জন্য টার্গেট ফাইলের নাম, ফাইলের MD5 হ্যাশ, ফাইলটি লেখার জন্য একটি ডিরেক্টরি (বা বর্তমান কার্যকারী ডিরেক্টরি, ডিফল্টরূপে), একটি বুলিয়ান ফাইলটি চালানো হবে কিনা তা নির্দেশ করতে। না, এবং এক্সিকিউটেবল ফাইলের বিষয়বস্তু, base64-এনকোডেড। যদি কোন ত্রুটি না ঘটে, একটি a এর সাথে C&C সার্ভারে বার্তা পাঠানো হয় আপলোড এবং সফলভাবে ফাইল চালান or এক্সিকিউট ছাড়াই সফলভাবে ফাইল আপলোড করুন (এনক্রিপ্ট করা)। ফাইল চালানোর সময় ত্রুটি দেখা দিলে, একটি f বার্তা পাঠানো হয়। যদি ফাইলের বিষয়বস্তুর MD5 হ্যাশ প্রদত্ত হ্যাশের সাথে মেলে না, একটি e (CRC_ERROR) বার্তা C&C সার্ভারে পাঠানো হয় (কেবলমাত্র ব্যবহৃত এনক্রিপশন কী সহ, এবং অন্য কোন তথ্য নেই)। শব্দটির ব্যবহার আপলোড এখানে সম্ভাব্য বিভ্রান্তিকর কারণ ব্যালিস্টিক ববক্যাট অপারেটর এবং কোডাররা সার্ভারের দিক থেকে দৃষ্টিভঙ্গি গ্রহণ করে, যেখানে অনেকে স্পনসর ব্যাকডোর ব্যবহার করে সিস্টেম দ্বারা ফাইল টানার (অর্থাৎ এটি ডাউনলোড করার) উপর ভিত্তি করে এটিকে ডাউনলোড হিসাবে দেখতে পারে। |
u |
ব্যবহার করে একটি ফাইল ডাউনলোড করার চেষ্টা করে URLDownloadFileW Windows API এবং এটি চালান। সাফল্য একটি পাঠায় a ব্যবহৃত এনক্রিপশন কী সহ বার্তা, এবং অন্য কোন তথ্য নেই। ব্যর্থতা একটি পাঠায় f একটি অনুরূপ গঠন সঙ্গে বার্তা. |
s |
ডিস্কে ইতিমধ্যেই একটি ফাইল চালায়, আনইনস্টল.ব্যাট বর্তমান কার্যকারী ডিরেক্টরিতে, যেটিতে সম্ভবত ব্যাকডোর সম্পর্কিত ফাইলগুলি মুছে ফেলার কমান্ড রয়েছে। |
n |
এই কমান্ডটি স্পষ্টভাবে একটি অপারেটর দ্বারা সরবরাহ করা যেতে পারে বা অন্য কোন কমান্ডের অনুপস্থিতিতে চালানোর কমান্ড হিসাবে স্পনসর দ্বারা অনুমান করা যেতে পারে। হিসাবে স্পনসর মধ্যে উল্লেখ করা হয়েছে NO_CMD, এটি C&C সার্ভারের সাথে আবার চেক ইন করার আগে একটি এলোমেলো ঘুম কার্যকর করে। |
b |
সংরক্ষিত C&C এর তালিকা আপডেট করে config. txt বর্তমান কাজের ডিরেক্টরিতে। নতুন C&C ঠিকানাগুলি আগেরগুলিকে প্রতিস্থাপন করে; তারা তালিকায় যোগ করা হয় না. এটি একটি পাঠায় a সঙ্গে বার্তা |
i |
উল্লেখিত পূর্বনির্ধারিত চেক-ইন ব্যবধান আপডেট করে config. txt. এটি একটি পাঠায় a সঙ্গে বার্তা নতুন ব্যবধান সফলভাবে প্রতিস্থাপিত হয়েছে সফলভাবে আপডেট হলে C&C সার্ভারে। |
স্পনসর আপডেট
ব্যালিস্টিক ববক্যাট কোডাররা স্পন্সর v1 এবং v2 এর মধ্যে কোড সংশোধন করেছে। পরের দুটি সবচেয়ে উল্লেখযোগ্য পরিবর্তন হল:
- কোডের অপ্টিমাইজেশান যেখানে বেশ কিছু দীর্ঘ ফাংশন ফাংশন এবং সাবফাংশনে মিনিমাইজ করা হয়েছিল, এবং
- পরিষেবা কনফিগারেশনে নিম্নলিখিত বার্তাটি অন্তর্ভুক্ত করে একটি আপডেটার প্রোগ্রাম হিসাবে স্পনসরকে ছদ্মবেশী করা:
অ্যাপ আপডেটগুলি অ্যাপ ব্যবহারকারী এবং অ্যাপ উভয়ের জন্যই দুর্দান্ত - আপডেটের মানে হল যে ডেভেলপাররা সবসময় অ্যাপের উন্নতির জন্য কাজ করে, প্রতিটি আপডেটের সাথে আরও ভাল গ্রাহক অভিজ্ঞতার কথা মাথায় রেখে।
যোগাযোগ অবকাঠামো
পাওয়ারলেস ক্যাম্পেইনে ব্যবহৃত C&C পরিকাঠামোতে পিগিব্যাক করার পাশাপাশি, ব্যালিস্টিক ববক্যাট একটি নতুন C&C সার্ভারও চালু করেছে। স্পন্সরিং অ্যাক্সেস ক্যাম্পেইন চলাকালীন সমর্থন সরঞ্জামগুলি সংরক্ষণ এবং সরবরাহ করতে গ্রুপটি একাধিক আইপি ব্যবহার করেছে। আমরা নিশ্চিত করেছি যে এই আইপিগুলির একটিও এই সময়ে চালু নেই।
উপসংহার
ব্যালিস্টিক ববক্যাট একটি স্ক্যান-এবং-শোষণ মডেলে কাজ চালিয়ে যাচ্ছে, ইন্টারনেট-উন্মুক্ত মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে অস্বাভাবিক দুর্বলতার সাথে সুযোগের লক্ষ্যগুলি সন্ধান করছে। গোষ্ঠীটি তার স্পনসর ব্যাকডোর সহ বেশ কয়েকটি কাস্টম অ্যাপ্লিকেশনের সাথে সম্পূরক একটি বৈচিত্র্যময় ওপেন-সোর্স টুলসেট ব্যবহার করে চলেছে। রক্ষকদের ভালভাবে পরামর্শ দেওয়া হবে যে কোনও ইন্টারনেট-উন্মুক্ত ডিভাইস প্যাচ করুন এবং তাদের প্রতিষ্ঠানের মধ্যে নতুন অ্যাপ্লিকেশনের জন্য সজাগ থাকুন।
WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.
আইওসি
নথি পত্র
রয়েছে SHA-1 |
ফাইলের নাম |
সনাক্তকরণ |
বিবরণ |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v1)। |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v2)। |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v3)। |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v4)। |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v5, ওরফে অ্যালুমিনা)। |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
RevSocks বিপরীত টানেল. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
পরিষ্কার |
ProcDump, অ্যাপ্লিকেশন নিরীক্ষণ এবং ক্র্যাশ ডাম্প তৈরি করার জন্য একটি কমান্ড লাইন ইউটিলিটি। |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
জেনেরিক.EYWYQYF |
মিমিকাটজ। |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
যান সরল টানেল (GOST)। |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
চিসেল রিভার্স টানেল। |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP আবিষ্কার টুল। |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
RevSocks টানেল, Enigma Protector সফ্টওয়্যার সুরক্ষার ট্রায়াল সংস্করণ দিয়ে সুরক্ষিত। |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), একটি কমান্ড লাইন সংযোগ টুল। |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
ওয়েব ব্রাউজারে সংরক্ষিত পাসওয়ার্ডের জন্য একটি পাসওয়ার্ড পুনরুদ্ধারের সরঞ্জাম। |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
এসকিউএল ডাটাবেসের সাথে ইন্টারঅ্যাক্ট করার এবং ডেটা বের করার জন্য একটি টুল। |
ফাইল পাথ
নিম্নলিখিত পথগুলির একটি তালিকা যেখানে স্পন্সর ব্যাকডোর শিকার মেশিনে স্থাপন করা হয়েছিল।
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%ডেস্কটপ
%USERPROFILE%ডাউনলোড
%WINDIR%
%WINDIR%INFMSEএক্সচেঞ্জ ডেলিভারি DSN
%WINDIR%টাস্ক
%WINDIR%Temp%WINDIR%Tempcrashpad1ফাইল
নেটওয়ার্ক
IP
প্রদানকারী
প্রথম দেখা
শেষ দেখা
বিস্তারিত
162.55.137[।]20
Hetzner অনলাইন GMBH
2021-06-14
2021-06-15
পাওয়ারলেস সি অ্যান্ড সি।
37.120.222[।]168
M247 LTD
2021-11-28
2021-12-12
স্পনসর C&C.
198.144.189[।]74
কোলোক্রসিং
2021-11-29
2021-11-29
সমর্থন টুল ডাউনলোড সাইট.
5.255.97[।]172
ইনফ্রাস্ট্রাকচার গ্রুপ বিভি
2021-09-05
2021-10-28
সমর্থন টুল ডাউনলোড সাইট.
IP
প্রদানকারী
প্রথম দেখা
শেষ দেখা
বিস্তারিত
162.55.137[।]20
Hetzner অনলাইন GMBH
2021-06-14
2021-06-15
পাওয়ারলেস সি অ্যান্ড সি।
37.120.222[।]168
M247 LTD
2021-11-28
2021-12-12
স্পনসর C&C.
198.144.189[।]74
কোলোক্রসিং
2021-11-29
2021-11-29
সমর্থন টুল ডাউনলোড সাইট.
5.255.97[।]172
ইনফ্রাস্ট্রাকচার গ্রুপ বিভি
2021-09-05
2021-10-28
সমর্থন টুল ডাউনলোড সাইট.
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 13 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.
যুদ্ধকৌশল |
ID |
নাম |
বিবরণ |
পরিদর্শনকরণ |
সক্রিয় স্ক্যানিং: দুর্বলতা স্ক্যানিং |
ব্যালিস্টিক ববক্যাট মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারের দুর্বল সংস্করণগুলিকে কাজে লাগানোর জন্য স্ক্যান করে৷ |
|
রিসোর্স ডেভলপমেন্ট |
সক্ষমতা বিকাশ: ম্যালওয়্যার |
ব্যালিস্টিক ববক্যাট স্পন্সর ব্যাকডোর ডিজাইন এবং কোড করেছে। |
|
প্রাপ্ত ক্ষমতা: টুল |
ব্যালিস্টিক ববক্যাট স্পনসরিং অ্যাক্সেস ক্যাম্পেইনের অংশ হিসেবে বিভিন্ন ওপেন সোর্স টুল ব্যবহার করে। |
||
প্রাথমিক অ্যাক্সেস |
পাবলিক-ফেসিং অ্যাপ্লিকেশন শোষণ |
ব্যালিস্টিক ববক্যাট ইন্টারনেট-উন্মুক্ত লক্ষ্য করে মাইক্রোসফট এক্সচেঞ্জ সার্ভার। |
|
ফাঁসি |
কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: উইন্ডোজ কমান্ড শেল |
স্পন্সর ব্যাকডোর উইন্ডোজ কমান্ড শেল ব্যবহার করে শিকারের সিস্টেমে কমান্ড চালানোর জন্য। |
|
সিস্টেম সার্ভিস: সার্ভিস এক্সিকিউশন |
পৃষ্ঠপোষক ব্যাকডোর নিজেকে একটি পরিষেবা হিসাবে সেট করে এবং পরিষেবাটি কার্যকর হওয়ার পরে এর প্রাথমিক কাজগুলি শুরু করে৷ |
||
অধ্যবসায় |
সিস্টেম প্রক্রিয়া তৈরি বা পরিবর্তন করুন: উইন্ডোজ পরিষেবা |
স্পনসর স্বয়ংক্রিয় স্টার্টআপ সহ একটি পরিষেবা তৈরি করে অধ্যবসায় বজায় রাখে যা একটি লুপে তার প্রাথমিক ফাংশনগুলি সম্পাদন করে। |
|
প্রিভিলেজ এসকেলেশন |
বৈধ অ্যাকাউন্ট: স্থানীয় অ্যাকাউন্ট |
ব্যালিস্টিক ববক্যাট অপারেটররা স্পনসর ব্যাকডোর স্থাপন করার আগে প্রাথমিকভাবে একটি সিস্টেম শোষণ করার পরে বৈধ ব্যবহারকারীদের শংসাপত্র চুরি করার চেষ্টা করে। |
|
প্রতিরক্ষা ফাঁকি |
Deobfuscate/ডিকোড ফাইল বা তথ্য |
স্পনসর এনক্রিপ্ট করা এবং অস্পষ্ট ডিস্কে তথ্য সঞ্চয় করে এবং রানটাইমে এটিকে ডিঅফসকেট করে। |
|
অস্পষ্ট ফাইল বা তথ্য |
স্পন্সর ব্যাকডোর ডিস্কে প্রয়োজনীয় কনফিগারেশন ফাইলগুলি এনক্রিপ্ট করা এবং অস্পষ্ট। |
||
বৈধ অ্যাকাউন্ট: স্থানীয় অ্যাকাউন্ট |
স্পনসর প্রশাসক বিশেষাধিকার সহ কার্যকর করা হয়, সম্ভবত অপারেটররা ডিস্কে পাওয়া শংসাপত্রগুলি ব্যবহার করে; ব্যালিস্টিক ববক্যাটের নিরীহ নামকরণ প্রথার সাথে, এটি পৃষ্ঠপোষককে পটভূমিতে মিশে যেতে দেয়। |
||
শংসাপত্র অ্যাক্সেস |
পাসওয়ার্ড স্টোর থেকে শংসাপত্র: ওয়েব ব্রাউজার থেকে শংসাপত্র |
ব্যালিস্টিক ববক্যাট অপারেটররা ওয়েব ব্রাউজারের ভিতরে পাসওয়ার্ড স্টোর থেকে শংসাপত্র চুরি করতে ওপেন সোর্স টুল ব্যবহার করে। |
|
আবিষ্কার |
দূরবর্তী সিস্টেম আবিষ্কার |
ব্যালিস্টিক ববক্যাট Host2IP টুল ব্যবহার করে, যা পূর্বে Agrius দ্বারা ব্যবহার করা হয়েছিল, পৌঁছানো যায় এমন নেটওয়ার্কের মধ্যে অন্যান্য সিস্টেমগুলি আবিষ্কার করতে এবং তাদের হোস্টনাম এবং IP ঠিকানাগুলিকে সংযুক্ত করতে। |
|
কমান্ড এবং কন্ট্রোল |
ডেটা অস্পষ্টতা |
C&C সার্ভারে পাঠানোর আগে পৃষ্ঠপোষক ব্যাকডোর ডেটা অস্পষ্ট করে। |
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- সক্ষম
- সম্পর্কে
- উপরে
- AC
- প্রবেশ
- অনুযায়ী
- অ্যাকাউন্টস
- সক্রিয়
- কর্মী
- কার্যকলাপ
- আসল
- যোগ
- যোগ
- অতিরিক্ত
- ঠিকানা
- ঠিকানাগুলি
- অ্যাডমিন
- অগ্রসর
- পর
- বিরুদ্ধে
- প্রতিনিধি
- ওরফে
- সতর্ক
- অ্যালগরিদম
- সব
- অনুমতি
- বরাবর
- ইতিমধ্যে
- এছাড়াও
- সর্বদা
- an
- বিশ্লেষণ
- এবং
- অন্য
- কোন
- API
- API গুলি
- অ্যাপ্লিকেশন
- আপাত
- প্রদর্শিত
- মনে হচ্ছে,
- আবেদন
- অ্যাপ্লিকেশন
- অভিগমন
- অ্যাপস
- APT
- আরব
- আরব আমিরাত
- আরবি
- স্থাপত্য
- রয়েছি
- যুক্তি
- আর্গুমেন্ট
- AS
- জিজ্ঞাসা করা
- At
- প্রচেষ্টা
- প্রচেষ্টা
- আগস্ট
- স্বয়ংক্রিয়
- স্বয়ংচালিত
- সচেতন
- পিছনে
- পিছনের দরজা
- পিছনে
- পটভূমি
- ভিত্তি
- ব্যাটারি
- BE
- হয়ে ওঠে
- কারণ
- হয়েছে
- আগে
- আচরণ
- বিশ্বাস করা
- সর্বোত্তম
- উত্তম
- মধ্যে
- মিশ্রণ
- উভয়
- ব্রাজিল
- ব্রাউজার
- নির্মিত
- কিন্তু
- by
- সি ++
- নামক
- ক্যাম্পেইন
- প্রচারাভিযান
- CAN
- ক্ষমতা
- যত্ন
- কেস
- কেন্দ্র
- পরিবর্তন
- চেক
- পরীক্ষণ
- মনোনীত
- বেসামরিক
- পরিষ্কার
- কোড
- কোডড
- সংগ্রহ করা
- স্তম্ভ
- এর COM
- ব্যবসায়িক
- যোগাযোগ
- যোগাযোগমন্ত্রী
- কোম্পানি
- কোম্পানি
- তুলনা
- আপস
- সংকটাপন্ন
- কম্পিউটার
- আবহ
- কনফিগারেশন
- নিশ্চিত
- বিভ্রান্তিকর
- সংযুক্ত
- সংযোগ
- যোগাযোগ
- ধারণ
- সুখী
- চলতে
- নিয়ন্ত্রণ
- সম্মেলন
- সমবায়
- পারা
- দেশ
- দেশ
- আবৃত
- Crash
- সৃষ্টি
- তৈরি করা হচ্ছে
- পরিচয়পত্র
- বর্তমান
- প্রথা
- ক্রেতা
- গ্রাহক অভিজ্ঞতা
- উপাত্ত
- ডেটাবেস
- ডাটাবেস
- দিন
- dc
- ডিসেম্বর
- ডিফল্ট
- রক্ষাকর্মীদের
- সংজ্ঞায়িত
- প্রদান করা
- বিলি
- মোতায়েন
- মোতায়েন
- বিস্তৃতি
- বর্ণনা করা
- বর্ণিত
- নকশা
- পরিকল্পিত
- বিস্তারিত
- সনাক্ত
- সনাক্তকরণ
- নির্ধারণ
- নির্ধারণ করে
- ডেভেলপারদের
- উন্নয়ন
- ডিভাইস
- হীরা
- আবিষ্কার করা
- আবিষ্কৃত
- আবিষ্কার
- বিতরণ
- বিচিত্র
- না
- ডোমেইন
- ডাউনলোড
- বাদ
- স্থিতিকাল
- সময়
- e
- প্রতি
- আরাম
- পূর্ব
- প্রশিক্ষণ
- বৈদ্যুতিক
- ইলেক্ট্রনিক্স
- আমিরাত
- নিযুক্ত
- এনক্রিপ্ট করা
- এনক্রিপশন
- চুক্তিবদ্ধ করান
- জড়িত
- প্রকৌশল
- ইঞ্জিন
- হেঁয়ালি
- উদ্যোগ
- সত্ত্বা
- পরিবেশ
- ভুল
- ত্রুটি
- ESET গবেষণা
- স্পষ্ট
- অনুসন্ধানী
- উদাহরণ
- বিনিময়
- এক্সিকিউট
- নিষ্পন্ন
- executes
- নির্বাহ
- ফাঁসি
- প্রস্থানের
- অভিজ্ঞতা
- কাজে লাগান
- শোষিত
- পরশ্রমজীবী
- ব্যর্থ
- ব্যর্থতা
- নিরপেক্ষভাবে
- কয়েক
- ক্ষেত্র
- ক্ষেত্রসমূহ
- ব্যক্তিত্ব
- ফাইল
- নথি পত্র
- আর্থিক
- অর্থনৈতিক সেবা সমূহ
- আর্থিক সেবা সংস্থা
- দৃঢ়
- প্রথম
- অনুসরণ
- খাদ্য
- জন্য
- বিন্যাস
- পাওয়া
- চার
- থেকে
- সম্পূর্ণ
- সম্পূর্ণরূপে
- ক্রিয়া
- ক্রিয়াকলাপ
- লাভ করা
- একত্রিত
- উত্পন্ন
- উৎপাদিত
- প্রজন্ম
- ভৌগলিক
- পাওয়া
- প্রদত্ত
- বিশ্বব্যাপী
- Go
- সরকার
- অনুদান
- মহান
- গ্রুপ
- অর্ধেক
- কাটা
- হ্যাশ
- আছে
- স্বাস্থ্য
- স্বাস্থ্য বীমা
- স্বাস্থ্যসেবা
- এখানে
- লুকান
- নিমন্ত্রণকর্তা
- যাহোক
- এইচটিএমএল
- HTTP
- HTTPS দ্বারা
- মানবীয়
- মানবাধিকার
- i
- ID
- চিহ্নিত
- সনাক্ত করা
- if
- ভাবমূর্তি
- উন্নতি
- in
- অন্যান্য
- অন্তর্ভুক্ত
- সুদ্ধ
- ইঙ্গিত
- ইঙ্গিত
- সূচক
- তথ্য
- পরিকাঠামো
- প্রারম্ভিক
- প্রাথমিকভাবে
- initiates
- অনুসন্ধান
- ভিতরে
- বীমা
- বুদ্ধিমত্তা
- আলাপচারিতার
- মজাদার
- অন্ত
- মধ্যে
- উপস্থাপিত
- বিনিয়োগ
- IP
- আইপি ঠিকানা
- আইপি ঠিকানা
- ইসরাইল
- IT
- এর
- নিজেই
- সাংবাদিক
- পালন
- চাবি
- কী
- জানা
- পরিচিত
- রং
- গত
- পরে
- আইন
- স্তর
- অন্তত
- লম্বা
- সম্ভবত
- সীমিত
- লাইন
- LINK
- তালিকা
- তালিকাভুক্ত
- স্থানীয়
- অবস্থিত
- আর
- খুঁজছি
- সৌন্দর্য
- মেশিন
- প্রণীত
- রক্ষণাবেক্ষণ
- রক্ষণাবেক্ষণ
- সংখ্যাগুরু
- পরিচালনা করে
- উত্পাদন
- অনেক
- নগরচত্বর
- ম্যাচ
- মে..
- MD5
- গড়
- মানে
- মিডিয়া
- চিকিৎসা
- স্বাস্থ্য সেবা
- মেডিকেল গবেষণা
- উল্লিখিত
- বার্তা
- সাবধানী
- মাইক্রোসফট
- মধ্যম
- মধ্যপ্রাচ্যে
- হতে পারে
- মন
- মিনিট
- অনুপস্থিত
- মডেল
- বিনয়ী
- পরিবর্তন
- পরিবর্তন
- মডুলার
- মারার
- পর্যবেক্ষণ
- সেতু
- বহুজাতিক
- বহু
- নাম
- নামে
- নামকরণ
- নেটওয়ার্ক
- নেটওয়ার্ক
- না
- নতুন
- নতুন
- পরবর্তী
- না।
- নোড
- না
- লক্ষণীয়ভাবে
- উপন্যাস
- নভেম্বর
- এখন
- সংখ্যা
- সংখ্যার
- প্রাপ্ত
- প্রাপ্ত
- সুস্পষ্ট
- of
- অফার
- প্রায়ই
- on
- হাতেনাতে
- ONE
- ওগুলো
- অনলাইন
- কেবল
- খোলা
- ওপেন সোর্স
- পরিচালনা করা
- পরিচালনা
- অপারেশন
- অপারেটর
- অপারেটরদের
- সুযোগ
- বিরোধী
- or
- ক্রম
- সংগঠন
- সাংগঠনিক
- সংগঠন
- মূল
- অন্যান্য
- আমাদের
- বাইরে
- নালী
- রূপরেখা
- আউটপুট
- শেষ
- নিজের
- পি ও ই
- বস্তাবন্দী
- পৃষ্ঠা
- পৃথিবীব্যাপি
- অংশ
- যন্ত্রাংশ
- গৃহীত
- পাসওয়ার্ড
- পাসওয়ার্ড
- গত
- তালি
- প্যাটার্ন
- অধ্যবসায়
- কর্মিবৃন্দ
- ফার্মাসিউটিক্যালস
- শারীরিক
- সমভূমি
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- দয়া করে
- বিন্দু
- দৃশ্যের পয়েন্ট
- পয়েন্ট
- অংশ
- সম্ভব
- সম্ভাব্য
- সম্ভাব্য
- ক্ষমতা
- বর্তমান
- আগে
- পূর্বে
- প্রাথমিক
- ব্যক্তিগত
- বিশেষাধিকার
- সম্ভবত
- প্রক্রিয়া
- প্রক্রিয়াজাতকরণ
- পণ্য
- কার্যক্রম
- অগ্রগতি
- রক্ষিত
- রক্ষা
- প্রদত্ত
- প্রদানকারী
- উপলব্ধ
- প্রকাশিত
- কাছে
- ধাক্কা
- R
- এলোমেলো
- এলোমেলোভাবে
- বরং
- পৌঁছনো
- গ্রহণ করা
- গৃহীত
- পায়
- আরোগ্য
- উল্লেখ করা
- সংক্রান্ত
- খাতা
- রেজিস্ট্রি
- সংশ্লিষ্ট
- থাকা
- মেরামত
- পুনঃপুনঃ
- প্রতিস্থাপন করা
- প্রতিস্থাপিত
- রিপোর্ট
- রিপোর্ট
- প্রতিবেদন
- প্রতিনিধিত্ব
- অনুরোধ
- অনুরোধ
- প্রয়োজন
- প্রয়োজন
- গবেষণা
- গবেষকরা
- ফল
- খুচরা বিক্রেতা
- বিপরীত
- পুনর্বিবেচনা
- অধিকার
- রয়্যালটি
- চালান
- দৌড়
- একই
- করাত
- স্ক্যান
- স্ক্যানিং
- সেকেন্ড
- দেখ
- পাঠান
- পাঠানোর
- পাঠায়
- প্রেরিত
- সেপ্টেম্বর
- সার্ভারের
- সেবা
- সেবা
- পরিষেবা সংস্থা
- সেট
- বিভিন্ন
- খোল
- প্রদর্শনী
- প্রদর্শিত
- শো
- পাশ
- দৃষ্টিশক্তি
- গুরুত্বপূর্ণ
- অনুরূপ
- সহজ
- সাইট
- চামড়া
- ঘুম
- So
- সফটওয়্যার
- সলিউশন
- কিছু
- উৎস
- বিশেষ
- বিশেষজ্ঞ
- নিদিষ্ট
- জামিন
- পৃষ্ঠপোষকতা
- অকুস্থল
- পর্যায়
- মান
- শুরু
- প্রারম্ভকালে
- যুক্তরাষ্ট্র
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- দোকান
- সঞ্চিত
- দোকান
- ধর্মঘট
- স্ট্রিং
- গঠন
- পরবর্তী
- পরবর্তীকালে
- সাফল্য
- সফলভাবে
- সরবরাহকৃত
- সরবরাহকারী
- সমর্থন
- সমর্থক
- পদ্ধতি
- সিস্টেম
- টেবিল
- গ্রহণ করা
- ধরা
- লক্ষ্য
- লক্ষ্যবস্তু
- লক্ষ্য করে
- লক্ষ্যমাত্রা
- প্রযুক্তিঃ
- টেলিযোগাযোগ
- এই
- মেয়াদ
- পাঠ
- চেয়ে
- যে
- সার্জারির
- তথ্য
- বিশ্ব
- তাদের
- তারপর
- সেখানে।
- যার ফলে
- এইগুলো
- তারা
- তৃতীয়
- এই
- সেগুলো
- হুমকি
- সর্বত্র
- সময়
- টাইমলাইনে
- TM
- থেকে
- একসঙ্গে
- টুল
- সরঞ্জাম
- মোট
- পথ
- চিকিৎসা
- পরীক্ষা
- সুড়ঙ্গ
- চালু
- দুই
- অক্ষম
- অবিভক্ত
- সংযুক্ত আরব
- সংযুক্ত আরব আমিরাত
- মার্কিন যুক্তরাষ্ট
- পর্যন্ত
- আপডেট
- আপডেট
- আপডেট
- উপরে
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- উপযোগ
- ব্যবহার
- ব্যবহার
- v1
- মূল্য
- মানগুলি
- বৈচিত্র্য
- বিভিন্ন
- সংস্করণ
- সংস্করণ
- উল্লম্ব
- শিকার
- ক্ষতিগ্রস্তদের
- চেক
- দেখুন
- দুর্বলতা
- দুর্বলতা
- জেয়
- ছিল
- we
- ওয়েব
- ওয়েব ব্রাউজার
- আমরা একটি
- ছিল
- কি
- কখন
- যেহেতু
- কিনা
- যে
- যখন
- ব্যাপক
- প্রস্থ
- জানলা
- জানালা
- সঙ্গে
- মধ্যে
- ছাড়া
- কাজ
- বিশ্ব
- বিশ্ব স্বাস্থ্য সংস্থা
- would
- লেখা
- লিখিত
- বছর
- হাঁ
- zephyrnet
- শূন্য