ব্যাচ-ফাইলড হুইস্কার সহ স্পনসর: ব্যালিস্টিক ববক্যাটের স্ক্যান এবং স্ট্রাইক ব্যাকডোর

ESET গবেষকরা ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতের বিভিন্ন সত্তাকে লক্ষ্য করে একটি ব্যালিস্টিক ববক্যাট প্রচারণা আবিষ্কার করেছেন, একটি অভিনব ব্যাকডোর ব্যবহার করে যার নাম আমরা স্পনসর করেছি৷

2022 সালের মে মাসে ইসরায়েলে একজন শিকারের সিস্টেমে আমরা শনাক্ত করা একটি আকর্ষণীয় নমুনা বিশ্লেষণ করার পরে এবং দেশ অনুসারে শিকারের স্কোপ করার পরে আমরা স্পনসরকে আবিষ্কার করেছি। পরীক্ষা করার পরে, এটি আমাদের কাছে স্পষ্ট হয়ে ওঠে যে নমুনাটি ব্যালিস্টিক ববক্যাট এপিটি গ্রুপ দ্বারা নিযুক্ত একটি অভিনব ব্যাকডোর ছিল।

ব্যালিস্টিক ববক্যাট, পূর্বে ESET রিসার্চ APT35/APT42 (ওরফে চার্মিং কিটেন, TA453, বা PHOSPHORUS) হিসাবে ট্র্যাক করেছিল, সন্দেহভাজন ইরান-সংযুক্ত উন্নত ক্রমাগত হুমকি গোষ্ঠী যা শিক্ষা, সরকার এবং স্বাস্থ্যসেবা সংস্থার পাশাপাশি মানবাধিকার কর্মী এবং সাংবাদিকদের লক্ষ্য করে। এটি ইসরায়েল, মধ্যপ্রাচ্য এবং মার্কিন যুক্তরাষ্ট্রে সবচেয়ে বেশি সক্রিয়। উল্লেখযোগ্যভাবে, মহামারী চলাকালীন, এটি বিশ্ব স্বাস্থ্য সংস্থা এবং গিলিয়েড ফার্মাসিউটিক্যালস এবং চিকিৎসা গবেষণা কর্মীদের সহ COVID-19-সম্পর্কিত সংস্থাগুলিকে লক্ষ্য করে।

ব্যালিস্টিক ববক্যাট প্রচারণার মধ্যে ওভারল্যাপ এবং পৃষ্ঠপোষক ব্যাকডোর সংস্করণগুলি সীমিত সময়কালের প্রতিটি সংকীর্ণভাবে লক্ষ্যযুক্ত প্রচারাভিযান সহ, সরঞ্জাম বিকাশ এবং স্থাপনার একটি মোটামুটি স্পষ্ট প্যাটার্ন দেখায়। আমরা পরবর্তীতে স্পন্সর ব্যাকডোরের আরও চারটি সংস্করণ আবিষ্কার করেছি। মোট, আমরা ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতে কমপক্ষে 34 জন ক্ষতিগ্রস্তের জন্য স্পন্সর মোতায়েন দেখেছি, যেমনটি উল্লেখ করা হয়েছে  REF _Ref143075975 জ ব্যক্তিত্ব 1
.

এই ব্লগপোস্টের মূল পয়েন্ট:

• আমরা ব্যালিস্টিক ববক্যাট দ্বারা স্থাপন করা একটি নতুন ব্যাকডোর আবিষ্কার করেছি যা আমরা পরবর্তীতে স্পনসর নাম দিয়েছি।
• ব্যালিস্টিক ববক্যাট 2021 সালের সেপ্টেম্বরে নতুন ব্যাকডোর মোতায়েন করেছিল, যখন এটি CISA Alert AA21-321A এবং পাওয়ারলেস প্রচারাভিযানে নথিভুক্ত প্রচারাভিযান গুটিয়ে নিচ্ছিল।
• স্পনসর ব্যাকডোর ডিস্কে সংরক্ষিত কনফিগারেশন ফাইল ব্যবহার করে। এই ফাইলগুলিকে সতর্কতার সাথে ব্যাচ ফাইলগুলি দ্বারা স্থাপন করা হয় এবং ইচ্ছাকৃতভাবে নির্দোষ দেখানোর জন্য ডিজাইন করা হয়, যার ফলে ইঞ্জিন স্ক্যান করে সনাক্তকরণ এড়ানোর চেষ্টা করা হয়।
• ব্রাজিল, ইসরায়েল এবং সংযুক্ত আরব আমিরাতে কমপক্ষে 34 ভুক্তভোগীর জন্য স্পনসর নিযুক্ত করা হয়েছিল; আমরা এই কার্যকলাপের নাম দিয়েছি স্পনসরিং অ্যাক্সেস ক্যাম্পেইন।

প্রাথমিক অ্যাক্সেস

ব্যালিস্টিক ববক্যাট ইন্টারনেট-উন্মুক্ত মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারে পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে প্রাথমিক অ্যাক্সেস পেয়েছে সম্ভাব্য দুর্বলতা বা দুর্বলতাগুলি সনাক্ত করতে সিস্টেম বা নেটওয়ার্কের সূক্ষ্ম স্ক্যান পরিচালনা করে এবং পরবর্তীতে চিহ্নিত দুর্বলতাগুলিকে লক্ষ্য করে এবং শোষণ করে৷ দলটি কিছু সময়ের জন্য এই আচরণে জড়িত বলে জানা গেছে। যাইহোক, ESET টেলিমেট্রিতে চিহ্নিত 34 ভুক্তভোগীদের মধ্যে অনেককে পূর্বনির্বাচিত এবং গবেষণা করা শিকারের পরিবর্তে সুযোগের শিকার হিসাবে বর্ণনা করা যেতে পারে, কারণ আমরা সন্দেহ করি ব্যালিস্টিক ববক্যাট উপরে বর্ণিত স্ক্যান-এবং-শোষণ আচরণে জড়িত কারণ এটি একমাত্র হুমকি ছিল না। এই সিস্টেম অ্যাক্সেস সঙ্গে অভিনেতা. আমরা এই ব্যালিস্টিক ববক্যাট কার্যকলাপের নাম দিয়েছি স্পনসর ব্যাকডোর স্পন্সরিং অ্যাক্সেস ক্যাম্পেইন ব্যবহার করে।

স্পনসর ব্যাকডোর ডিস্কে কনফিগারেশন ফাইল ব্যবহার করে, ব্যাচ ফাইল দ্বারা ড্রপ করা হয় এবং উভয়ই নিরীহ যাতে স্ক্যানিং ইঞ্জিনগুলিকে বাইপাস করা যায়। এই মডুলার পদ্ধতিটি এমন একটি যা ব্যালিস্টিক ববক্যাট গত আড়াই বছরে প্রায়শই এবং শালীন সাফল্যের সাথে ব্যবহার করেছে। আপোসকৃত সিস্টেমে, ব্যালিস্টিক ববক্যাট বিভিন্ন ধরনের ওপেন-সোর্স টুল ব্যবহার করে চলেছে, যা আমরা এই ব্লগপোস্টে বর্ণনা করেছি – স্পন্সর ব্যাকডোর সহ।

Victimology

34 ভুক্তভোগীদের একটি উল্লেখযোগ্য সংখ্যাগরিষ্ঠ ইস্রায়েলে অবস্থিত, শুধুমাত্র দুটি অন্যান্য দেশে অবস্থিত:

• ব্রাজিল, একটি চিকিৎসা সমবায় এবং স্বাস্থ্য বীমা অপারেটর, এবং
• সংযুক্ত আরব আমিরাত, একটি অজ্ঞাত সংস্থায়।

 REF _Ref112861418 জ টেবিল 1
ইস্রায়েলে ক্ষতিগ্রস্তদের জন্য উল্লম্ব, এবং সাংগঠনিক বিবরণ বর্ণনা করে।

টেবিল  SEQ টেবিল * আরবি 1. ইস্রায়েলে ক্ষতিগ্রস্তদের জন্য উল্লম্ব এবং সাংগঠনিক বিবরণ

উল্লম্ব	বিস্তারিত
স্বয়ংচালিত	·       একটি স্বয়ংচালিত কোম্পানি কাস্টম পরিবর্তনে বিশেষজ্ঞ। ·       একটি মোটরগাড়ি মেরামত এবং রক্ষণাবেক্ষণ কোম্পানি।
যোগাযোগমন্ত্রী	·       একটি ইসরায়েলি সংবাদমাধ্যম।
প্রকৌশল	·       একটি সিভিল ইঞ্জিনিয়ারিং ফার্ম। ·       একটি পরিবেশগত প্রকৌশল সংস্থা। ·       একটি আর্কিটেকচারাল ডিজাইন ফার্ম।
অর্থনৈতিক সেবা সমূহ	·       একটি আর্থিক পরিষেবা সংস্থা যা বিনিয়োগ কাউন্সেলিংয়ে বিশেষজ্ঞ। ·       একটি কোম্পানি যে রয়্যালটি পরিচালনা করে।
স্বাস্থ্যসেবা	·       একজন চিকিৎসা সেবা প্রদানকারী।
বীমা	·       একটি বীমা কোম্পানি যা একটি বীমা বাজার পরিচালনা করে। ·       একটি বাণিজ্যিক বীমা কোম্পানি।
আইন	·       চিকিৎসা আইনে বিশেষজ্ঞ একটি ফার্ম।
ম্যানুফ্যাকচারিং	·       একাধিক ইলেকট্রনিক্স উৎপাদনকারী প্রতিষ্ঠান। ·       একটি কোম্পানি যে ধাতু-ভিত্তিক বাণিজ্যিক পণ্য উত্পাদন করে। ·       একটি বহুজাতিক প্রযুক্তি উৎপাদনকারী কোম্পানি।
খুচরা	·       একজন খাদ্য খুচরা বিক্রেতা। ·       একটি বহুজাতিক হীরা খুচরা বিক্রেতা. ·       একটি ত্বকের যত্ন পণ্য খুচরা বিক্রেতা. ·       একটি উইন্ডো চিকিত্সা খুচরা বিক্রেতা এবং ইনস্টলার. ·       একটি বিশ্বব্যাপী ইলেকট্রনিক যন্ত্রাংশ সরবরাহকারী। ·       একটি শারীরিক অ্যাক্সেস নিয়ন্ত্রণ সরবরাহকারী।
প্রযুক্তিঃ	·       একটি আইটি সেবা প্রযুক্তি কোম্পানি। ·       একটি আইটি সমাধান প্রদানকারী.
টেলিযোগাযোগ	·       একটি টেলিকমিউনিকেশন কোম্পানি।
অসনাক্ত	·       একাধিক অজ্ঞাত সংগঠন।

আরোপণ

2021 সালের আগস্টে, উপরে যে ইসরায়েলি ভিকটিম একটি বীমা মার্কেটপ্লেস পরিচালনা করে তার উপর ব্যালিস্টিক ববক্যাট টুল দিয়ে আক্রমণ করেছিল CISA নভেম্বর 2021 এ রিপোর্ট করেছে. সমঝোতার সূচকগুলি আমরা পর্যবেক্ষণ করেছি:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• গুগল চেঞ্জ ম্যানেজমেন্ট, এবং
• GoogleChangeManagement.xml.

ব্যালিস্টিক ববক্যাট সরঞ্জামগুলি CISA রিপোর্টের মতো একই কমান্ড এবং নিয়ন্ত্রণ (C&C) সার্ভারের সাথে যোগাযোগ করেছে: 162.55.137[।]20.

তারপরে, 2021 সালের সেপ্টেম্বরে, একই শিকার ব্যালিস্টিক ববক্যাট সরঞ্জামগুলির পরবর্তী প্রজন্ম পেয়েছে: পাওয়ারলেস ব্যাকডোর এবং এর সমর্থনকারী টুলসেট। সমঝোতার সূচকগুলি আমরা পর্যবেক্ষণ করেছি:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exe, এবং
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

নভেম্বর 18^th, 2021, গ্রুপটি তারপর অন্য একটি টুল স্থাপন করে (প্লিংক) যা CISA রিপোর্টে কভার করা হয়েছিল, যেমন MicrosoftOutLookUpdater.exe. দশদিন পর ২৮ নভেম্বর^th, 2021, ব্যালিস্টিক ববক্যাট মোতায়েন মার্লিন এজেন্ট (একটির এজেন্ট অংশ ওপেন সোর্স পোস্ট-শোষণ C&C সার্ভার এবং এজেন্ট Go-তে লেখা) ডিস্কে, এই মার্লিন এজেন্টের নাম ছিল googleUpdate.exe, সরল দৃষ্টিতে লুকানোর জন্য CISA রিপোর্টে বর্ণিত একই নামকরণের রীতি ব্যবহার করে।

মারলিন এজেন্ট একটি মিটারপ্রেটার রিভার্স শেল কার্যকর করেছে যা একটি নতুন C&C সার্ভারে ফিরে এসেছে, 37.120.222[।]168:80. 12 ডিসেম্বর^th, 2021, বিপরীত শেল একটি ব্যাচ ফাইল ফেলে দিয়েছে, ব্যাট, এবং ব্যাচ ফাইলটি কার্যকর করার কয়েক মিনিটের মধ্যে, ব্যালিস্টিক ববক্যাট অপারেটররা তাদের নতুন ব্যাকডোর, স্পনসরকে ঠেলে দেয়। এটি ব্যাকডোর তৃতীয় সংস্করণ হতে চালু হবে.

প্রযুক্তিগত বিশ্লেষণ

প্রাথমিক অ্যাক্সেস

আমরা ESET টেলিমেট্রিতে পর্যবেক্ষণ করা 23 জনের মধ্যে 34 জনের প্রাথমিক অ্যাক্সেসের সম্ভাব্য উপায় সনাক্ত করতে সক্ষম হয়েছি। যা রিপোর্ট করা হয়েছে অনুরূপ শক্তিহীন এবং CISA প্রতিবেদনে বলা হয়েছে, ব্যালিস্টিক ববক্যাট সম্ভবত একটি পরিচিত দুর্বলতাকে কাজে লাগিয়েছে, জন্য CVE-2021-26855, মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে এই সিস্টেমগুলিতে একটি পা রাখার জন্য।

16 জনের মধ্যে 34 জনের জন্য, মনে হচ্ছে ব্যালিস্টিক ববক্যাট তাদের সিস্টেমে অ্যাক্সেসের একমাত্র হুমকি অভিনেতা ছিলেন না। এটি ইঙ্গিত দিতে পারে, শিকারের বিস্তৃত বৈচিত্র্য এবং কয়েকজন শিকারের সুস্পষ্ট বুদ্ধিমত্তা মূল্যের আপাত অভাবের সাথে, যে ব্যালিস্টিক ববক্যাট স্ক্যান-এবং-শোষণ আচরণে নিযুক্ত ছিল, পূর্বনির্বাচিত শিকারদের বিরুদ্ধে একটি লক্ষ্যযুক্ত প্রচারণার বিপরীতে।

টুলসেট

ওপেন সোর্স টুলস

ব্যালিস্টিক ববক্যাট স্পন্সরিং অ্যাক্সেস ক্যাম্পেইনের সময় বেশ কয়েকটি ওপেন-সোর্স টুল নিযুক্ত করেছে। এই টুল এবং তাদের ফাংশন তালিকাভুক্ত করা হয়  REF _Ref112861458 জ টেবিল 2
.

টেবিল  SEQ টেবিল * আরবি 2. ব্যালিস্টিক ববক্যাট দ্বারা ব্যবহৃত ওপেন সোর্স টুল

ফাইলের নাম	বিবরণ
host2ip.exe	মানচিত্র a একটি IP ঠিকানায় হোস্টনাম স্থানীয় নেটওয়ার্কের মধ্যে।
CSRSS.EXE	RevSocks, একটি বিপরীত টানেল অ্যাপ্লিকেশন.
mi.exe	Mimikatz, এর একটি আসল ফাইলের নাম সহ midongle.exe এবং সঙ্গে বস্তাবন্দী আরমাডিলো পিই প্যাকার.
gost.exe	সরল টানেল যান (গেস্ট), গো-তে লেখা একটি টানেলিং অ্যাপ্লিকেশন।
chisel.exe	বাটালি, SSH স্তরগুলি ব্যবহার করে HTTP-এর উপর একটি TCP/UDP টানেল৷
csrss_protected.exe	RevSocks টানেল, এর ট্রায়াল সংস্করণ দিয়ে সুরক্ষিত এনিগমা প্রোটেক্টর সফ্টওয়্যার সুরক্ষা.
plink.exe	প্লিংক (PuTTY Link), একটি কমান্ড লাইন সংযোগ টুল।
WebBrowserPassView.exe	A পাসওয়ার্ড পুনরুদ্ধারের সরঞ্জাম ওয়েব ব্রাউজারে সংরক্ষিত পাসওয়ার্ডের জন্য।
sqlextractor.exe	A টুল এসকিউএল ডাটাবেসের সাথে ইন্টারঅ্যাক্ট করার এবং থেকে ডেটা বের করার জন্য।
procdump64.exe	প্রোকডাম্প, একটি  অ্যাপ্লিকেশন নিরীক্ষণ এবং ক্র্যাশ ডাম্প তৈরির জন্য Sysinternals কমান্ড লাইন ইউটিলিটি।

ব্যাচ ফাইলগুলি

ব্যালিস্টিক ববক্যাট স্পন্সর ব্যাকডোর মোতায়েন করার আগে ব্যাচ ফাইলগুলি ক্ষতিগ্রস্তদের সিস্টেমে স্থাপন করে। আমরা যে ফাইল পাথগুলি সম্পর্কে সচেতন তা হল:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%TasksInstall.bat

দুর্ভাগ্যবশত, আমরা এই ব্যাচ ফাইলগুলির কোনোটি পেতে পারিনি৷ যাইহোক, আমরা বিশ্বাস করি যে তারা নিরীহ কনফিগারেশন ফাইলগুলি ডিস্কে লেখে, যা স্পনসর ব্যাকডোর সম্পূর্ণরূপে কাজ করার জন্য প্রয়োজন। এই কনফিগারেশন ফাইলের নামগুলি স্পন্সর ব্যাকডোর থেকে নেওয়া হয়েছিল কিন্তু কখনই সংগ্রহ করা হয়নি:

• config. txt
• node.txt
• error.txt
• আনইনস্টল.ব্যাট

আমরা বিশ্বাস করি যে ব্যাচ ফাইল এবং কনফিগারেশন ফাইলগুলি মডুলার ডেভেলপমেন্ট প্রক্রিয়ার অংশ যা ব্যালিস্টিক ববক্যাট গত কয়েক বছর ধরে সমর্থন করেছে।

পৃষ্ঠপোষক ব্যাকডোর

স্পন্সর ব্যাকডোরগুলি C++ এ লেখা হয়েছে সংকলন টাইমস্ট্যাম্প এবং প্রোগ্রাম ডাটাবেস (PDB) পাথ সহ  REF _Ref112861527 জ টেবিল 3
. সংস্করণ সংখ্যার উপর একটি নোট: কলাম সংস্করণ স্পন্সর ব্যাকডোরের রৈখিক অগ্রগতির উপর ভিত্তি করে যে সংস্করণটি আমরা অভ্যন্তরীণভাবে ট্র্যাক করি তা উপস্থাপন করে যেখানে এক সংস্করণ থেকে পরবর্তী সংস্করণে পরিবর্তন করা হয়। দ্য অভ্যন্তরীণ সংস্করণ কলামে প্রতিটি স্পনসরের ব্যাকডোরে পর্যবেক্ষণ করা সংস্করণ নম্বর রয়েছে এবং এই এবং অন্যান্য সম্ভাব্য স্পনসর নমুনাগুলি পরীক্ষা করার সময় তুলনা করার সুবিধার জন্য অন্তর্ভুক্ত করা হয়েছে।

টেবিল 3. স্পনসর সংকলন টাইমস্ট্যাম্প এবং PDBs

সংস্করণ	অভ্যন্তরীণ সংস্করণ	সংকলন টাইমস্ট্যাম্প	পিডিবি
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

স্পনসরের প্রাথমিক সম্পাদনের জন্য রানটাইম আর্গুমেন্ট প্রয়োজন ইনস্টল, যা ছাড়া স্পনসর সুন্দরভাবে প্রস্থান করে, সম্ভবত একটি সাধারণ অ্যান্টি-ইমুলেশন/অ্যান্টি-স্যান্ডবক্স কৌশল। যদি সেই যুক্তিটি পাস হয়, স্পনসর নামে একটি পরিষেবা তৈরি করে সিস্টেম নেটওয়ার্ক (ইন v1) এবং আপডেট (অন্য সব সংস্করণে)। এটা সেবা এর সেট প্রারম্ভকালে টাইপ থেকে স্বয়ংক্রিয়, এবং এটিকে তার নিজস্ব স্পনসর প্রক্রিয়া চালানোর জন্য সেট করে এবং এটিকে সম্পূর্ণ অ্যাক্সেস দেয়। এটি তারপর পরিষেবা শুরু করে।

স্পনসর, এখন একটি পরিষেবা হিসাবে চলছে, পূর্বে ডিস্কে স্থাপন করা পূর্বোক্ত কনফিগারেশন ফাইলগুলি খোলার চেষ্টা করে। এটা খোঁজে config. txt এবং node.txt, উভয়ই বর্তমান কাজের ডিরেক্টরিতে। প্রথমটি অনুপস্থিত থাকলে, স্পনসর পরিষেবাটি সেট করে বন্ধ এবং সুন্দরভাবে প্রস্থান করে।

ব্যাকডোর কনফিগারেশন

স্পনসর এর কনফিগারেশন, সংরক্ষিত config. txt, দুটি ক্ষেত্র রয়েছে:

• কমান্ডের জন্য পর্যায়ক্রমে C&C সার্ভারের সাথে যোগাযোগ করতে সেকেন্ডের মধ্যে একটি আপডেট ব্যবধান।
• C&C সার্ভারের একটি তালিকা, হিসাবে উল্লেখ করা হয় relays এর স্পনসর এর বাইনারি মধ্যে.

C&C সার্ভারগুলি এনক্রিপ্টেড (RC4) সংরক্ষিত থাকে এবং ডিক্রিপশন কী এর প্রথম লাইনে উপস্থিত থাকে config. txt. ডিক্রিপশন কী সহ প্রতিটি ক্ষেত্রের বিন্যাসে দেখানো হয়েছে  REF _Ref142647636 জ ব্যক্তিত্ব 3
.

এই সাবফিল্ডগুলি হল:

• config_start: এর দৈর্ঘ্য নির্দেশ করে config_name, যদি উপস্থিত থাকে, অথবা শূন্য, যদি না থাকে। কোথায় জানি পিছনের দরজা দ্বারা ব্যবহৃত config_data শুরু হয়।
• config_len: এর দৈর্ঘ্য config_data.
• config_name: ঐচ্ছিক, কনফিগারেশন ক্ষেত্রে দেওয়া একটি নাম রয়েছে।
• config_data: কনফিগারেশন নিজেই, এনক্রিপ্ট করা (C&C সার্ভারের ক্ষেত্রে) বা না (অন্য সব ক্ষেত্র)।

 REF _Ref142648473 জ ব্যক্তিত্ব 4
একটি সম্ভাব্য রঙ-কোডেড বিষয়বস্তু সহ একটি উদাহরণ দেখায় config. txt ফাইল মনে রাখবেন যে এটি একটি প্রকৃত ফাইল নয় যা আমরা পর্যবেক্ষণ করেছি, কিন্তু একটি বানোয়াট উদাহরণ।

শেষ দুটি ক্ষেত্রের মধ্যে config. txt ডেটা এনক্রিপ্ট করার কী হিসাবে নির্দিষ্ট ডিক্রিপশন কী-এর SHA-4 হ্যাশের স্ট্রিং উপস্থাপনা ব্যবহার করে RC256 দিয়ে এনক্রিপ্ট করা হয়। আমরা দেখতে পাচ্ছি যে এনক্রিপ্ট করা বাইটগুলি হেক্স-এনকোডেড ASCII টেক্সট হিসাবে সংরক্ষণ করা হয়েছে।

তথ্য সংগ্রহ হোস্ট

স্পনসর যে হোস্টে এটি চলছে তার তথ্য সংগ্রহ করে, সংগ্রহ করা সমস্ত তথ্য C&C সার্ভারে রিপোর্ট করে এবং একটি নোড আইডি পায়, যা লেখা হয় node.txt.  REF _Ref142653641 জ টেবিল 4
REF _Ref112861575 জ
 উইন্ডোজ রেজিস্ট্রিতে কী এবং মান তালিকাভুক্ত করে যা স্পনসর তথ্য পেতে ব্যবহার করে এবং সংগৃহীত ডেটার একটি উদাহরণ প্রদান করে।

সারণি 4. স্পনসর দ্বারা সংগৃহীত তথ্য

রেজিস্ট্রি কী	মূল্য	উদাহরণ
HKEY_LOCAL_MACHINESYSTEM কর্নার কন্ট্রোলসেট সার্ভিসসিসিপিপিপ্যারামিটার	হোস্টনাম	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	TimeZoneKeyName	ইসরায়েল মান সময়
HKEY_USERS.DEFAULTকন্ট্রোল প্যানেল আন্তর্জাতিক	স্থানীয় নাম	তিনি-আইএল
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSSBIBIOS	বেসবোর্ডপ্রডাক্ট	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	ProcessorNameString	Intel(R) Core(TM) i7-8565U CPU @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMICrosoftWindows NTCurrentVersion	পণ্যের নাম	উইন্ডোজ এক্সএনইউএমএক্স এন্টারপ্রাইজ এন
	বর্তমান সংস্করণ	6.3
	বর্তমান বিল্ড নম্বর	19044
	ইনস্টলেশন প্রকার	মক্কেল

স্পনসর নিম্নলিখিত ব্যবহার করে হোস্টের উইন্ডোজ ডোমেইন সংগ্রহ করে ডাব্লুএমআইসি কমান্ড প্রয়োগ করুন:

wmic কম্পিউটার সিস্টেম ডোমেইন পায়

সর্বশেষে, স্পনসর বর্তমান ব্যবহারকারীর নাম সংগ্রহ করতে Windows API ব্যবহার করে (GetUserNameW), বর্তমান স্পনসর প্রক্রিয়া একটি 32- বা 64-বিট অ্যাপ্লিকেশন হিসাবে চলছে কিনা তা নির্ধারণ করুন (GetCurrentProcess, তারপর IsWow64Process(বর্তমান প্রক্রিয়া)), এবং সিস্টেমটি ব্যাটারি পাওয়ারে চলছে কিনা বা AC বা DC পাওয়ার সোর্সের সাথে সংযুক্ত কিনা তা নির্ধারণ করে (সিস্টেম পাওয়ার স্ট্যাটাস পান).

32- বা 64-বিট অ্যাপ্লিকেশন চেক সংক্রান্ত একটি অদ্ভুততা হল যে স্পনসরের সমস্ত পর্যবেক্ষণ নমুনা 32-বিট ছিল। এর অর্থ হতে পারে যে পরবর্তী পর্যায়ের কিছু সরঞ্জামের জন্য এই তথ্য প্রয়োজন।

সংগৃহীত তথ্য একটি বেস64-এনকোডেড বার্তায় পাঠানো হয় যা এনকোডিংয়ের আগে শুরু হয় r এবং ফর্ম্যাটে দেখানো হয়েছে  REF _Ref142655224 জ ব্যক্তিত্ব 5
.

তথ্য RC4 দিয়ে এনক্রিপ্ট করা হয়েছে, এবং এনক্রিপশন কী হল একটি এলোমেলো নম্বর যা ঘটনাস্থলে তৈরি হয়। কীটি MD5 অ্যালগরিদম দিয়ে হ্যাশ করা হয়েছে, পূর্বে উল্লিখিত SHA-256 নয়। এটি এমন সমস্ত যোগাযোগের ক্ষেত্রে যেখানে স্পনসরকে এনক্রিপ্ট করা ডেটা পাঠাতে হয়।

C&C সার্ভার পরবর্তী যোগাযোগে ভুক্তভোগী কম্পিউটার সনাক্ত করতে ব্যবহৃত একটি নম্বর দিয়ে উত্তর দেয়, যা লেখা হয় node.txt. উল্লেখ্য যে C&C সার্ভার এলোমেলোভাবে তালিকা থেকে নির্বাচিত হয় যখন r বার্তা পাঠানো হয়, এবং একই সার্ভার পরবর্তী সমস্ত যোগাযোগে ব্যবহৃত হয়।

কমান্ড প্রসেসিং লুপ

স্পনসর একটি লুপে কমান্ডের অনুরোধ করে, সংজ্ঞায়িত ব্যবধান অনুযায়ী ঘুমিয়ে config. txt. ধাপগুলো হল:

1. একটি প্রেরণ chk=পরীক্ষা C&C সার্ভার উত্তর না দেওয়া পর্যন্ত বারবার বার্তা পাঠান Ok.
2. একটি প্রেরণ c (IS_CMD_AVAIL) C&C সার্ভারে বার্তা পাঠান এবং একটি অপারেটর কমান্ড পান।
3. কমান্ডটি প্রক্রিয়া করুন।
   • C&C সার্ভারে পাঠানোর জন্য আউটপুট থাকলে, একটি পাঠান a (সেটি হল ACK) বার্তা, আউটপুট সহ (এনক্রিপ্ট করা), বা
   • যদি মৃত্যুদন্ড ব্যর্থ হয়, একটি পাঠান f (ব্যর্থ) বার্তা। ত্রুটি বার্তা পাঠানো হয় না.
4. ঘুম.

সার্জারির c বার্তাটি চালানোর জন্য একটি কমান্ডের অনুরোধ করার জন্য পাঠানো হয়, এবং ফর্ম্যাট (বেস64 এনকোডিংয়ের আগে) দেখানো হয়  REF _Ref142658017 জ ব্যক্তিত্ব 6
.

সার্জারির এনক্রিপ্ট করা_কোনটি নয় চিত্রের ক্ষেত্রটি হার্ডকোডেড স্ট্রিং এনক্রিপ্ট করার ফলাফল না RC4 সহ। এনক্রিপশনের চাবিকাঠি হল MD5 হ্যাশ node_id.

C&C সার্ভারের সাথে যোগাযোগ করতে ব্যবহৃত URLটি এইভাবে তৈরি করা হয়েছে: http://<IP_or_domain>:80. এটি ইঙ্গিত দিতে পারে 37.120.222[।]168:80 স্পনসরিং অ্যাক্সেস ক্যাম্পেইন জুড়ে ব্যবহৃত একমাত্র C&C সার্ভার, কারণ এটিই একমাত্র আইপি ঠিকানা যা আমরা দেখেছি যে ভিকটিম মেশিনগুলি পোর্ট 80-এ পৌঁছাচ্ছে।

অপারেটর কমান্ড

অপারেটর কমান্ডগুলিকে চিত্রিত করা হয়েছে  REF _Ref112861551 জ টেবিল 5
এবং তারা কোডে পাওয়া যায় এমন ক্রমে উপস্থিত হয়। C&C সার্ভারের সাথে যোগাযোগ পোর্ট 80 এর উপরে ঘটে।

সারণি 5. অপারেটর কমান্ড এবং বিবরণ

আদেশ	বিবরণ
p	চলমান স্পনসর প্রক্রিয়ার জন্য প্রক্রিয়া আইডি পাঠায়।
e	নিম্নলিখিত স্ট্রিং ব্যবহার করে স্পনসর হোস্টে পরবর্তী অতিরিক্ত আর্গুমেন্টে নির্দিষ্ট করা একটি কমান্ড কার্যকর করে: c:windowssystem32cmd.exe/c    > result.txt 2> & 1 ফলাফল সংরক্ষণ করা হয় result.txt বর্তমান কাজের ডিরেক্টরিতে। একটি পাঠায় a সফলভাবে চালানো হলে C&C সার্ভারে এনক্রিপ্ট করা আউটপুট সহ বার্তা। ব্যর্থ হলে, একটি পাঠায় f বার্তা (ত্রুটি উল্লেখ না করে)।
d	C&C সার্ভার থেকে একটি ফাইল গ্রহণ করে এবং এটি কার্যকর করে। এই কমান্ডের অনেক আর্গুমেন্ট রয়েছে: ফাইলটি লেখার জন্য টার্গেট ফাইলের নাম, ফাইলের MD5 হ্যাশ, ফাইলটি লেখার জন্য একটি ডিরেক্টরি (বা বর্তমান কার্যকারী ডিরেক্টরি, ডিফল্টরূপে), একটি বুলিয়ান ফাইলটি চালানো হবে কিনা তা নির্দেশ করতে। না, এবং এক্সিকিউটেবল ফাইলের বিষয়বস্তু, base64-এনকোডেড। যদি কোন ত্রুটি না ঘটে, একটি a এর সাথে C&C সার্ভারে বার্তা পাঠানো হয় আপলোড এবং সফলভাবে ফাইল চালান or এক্সিকিউট ছাড়াই সফলভাবে ফাইল আপলোড করুন (এনক্রিপ্ট করা)। ফাইল চালানোর সময় ত্রুটি দেখা দিলে, একটি f বার্তা পাঠানো হয়। যদি ফাইলের বিষয়বস্তুর MD5 হ্যাশ প্রদত্ত হ্যাশের সাথে মেলে না, একটি e (CRC_ERROR) বার্তা C&C সার্ভারে পাঠানো হয় (কেবলমাত্র ব্যবহৃত এনক্রিপশন কী সহ, এবং অন্য কোন তথ্য নেই)। শব্দটির ব্যবহার আপলোড এখানে সম্ভাব্য বিভ্রান্তিকর কারণ ব্যালিস্টিক ববক্যাট অপারেটর এবং কোডাররা সার্ভারের দিক থেকে দৃষ্টিভঙ্গি গ্রহণ করে, যেখানে অনেকে স্পনসর ব্যাকডোর ব্যবহার করে সিস্টেম দ্বারা ফাইল টানার (অর্থাৎ এটি ডাউনলোড করার) উপর ভিত্তি করে এটিকে ডাউনলোড হিসাবে দেখতে পারে।
u	ব্যবহার করে একটি ফাইল ডাউনলোড করার চেষ্টা করে URLDownloadFileW Windows API এবং এটি চালান। সাফল্য একটি পাঠায় a ব্যবহৃত এনক্রিপশন কী সহ বার্তা, এবং অন্য কোন তথ্য নেই। ব্যর্থতা একটি পাঠায় f একটি অনুরূপ গঠন সঙ্গে বার্তা.
s	ডিস্কে ইতিমধ্যেই একটি ফাইল চালায়, আনইনস্টল.ব্যাট বর্তমান কার্যকারী ডিরেক্টরিতে, যেটিতে সম্ভবত ব্যাকডোর সম্পর্কিত ফাইলগুলি মুছে ফেলার কমান্ড রয়েছে।
n	এই কমান্ডটি স্পষ্টভাবে একটি অপারেটর দ্বারা সরবরাহ করা যেতে পারে বা অন্য কোন কমান্ডের অনুপস্থিতিতে চালানোর কমান্ড হিসাবে স্পনসর দ্বারা অনুমান করা যেতে পারে। হিসাবে স্পনসর মধ্যে উল্লেখ করা হয়েছে NO_CMD, এটি C&C সার্ভারের সাথে আবার চেক ইন করার আগে একটি এলোমেলো ঘুম কার্যকর করে।
b	সংরক্ষিত C&C এর তালিকা আপডেট করে config. txt বর্তমান কাজের ডিরেক্টরিতে। নতুন C&C ঠিকানাগুলি আগেরগুলিকে প্রতিস্থাপন করে; তারা তালিকায় যোগ করা হয় না. এটি একটি পাঠায় a সঙ্গে বার্তা নতুন রিলে সফলভাবে প্রতিস্থাপিত হয়েছে সফলভাবে আপডেট করা হলে C&C সার্ভারে (এনক্রিপ্ট করা)।
i	উল্লেখিত পূর্বনির্ধারিত চেক-ইন ব্যবধান আপডেট করে config. txt. এটি একটি পাঠায় a সঙ্গে বার্তা নতুন ব্যবধান সফলভাবে প্রতিস্থাপিত হয়েছে সফলভাবে আপডেট হলে C&C সার্ভারে।

স্পনসর আপডেট

ব্যালিস্টিক ববক্যাট কোডাররা স্পন্সর v1 এবং v2 এর মধ্যে কোড সংশোধন করেছে। পরের দুটি সবচেয়ে উল্লেখযোগ্য পরিবর্তন হল:

• কোডের অপ্টিমাইজেশান যেখানে বেশ কিছু দীর্ঘ ফাংশন ফাংশন এবং সাবফাংশনে মিনিমাইজ করা হয়েছিল, এবং
• পরিষেবা কনফিগারেশনে নিম্নলিখিত বার্তাটি অন্তর্ভুক্ত করে একটি আপডেটার প্রোগ্রাম হিসাবে স্পনসরকে ছদ্মবেশী করা:

অ্যাপ আপডেটগুলি অ্যাপ ব্যবহারকারী এবং অ্যাপ উভয়ের জন্যই দুর্দান্ত - আপডেটের মানে হল যে ডেভেলপাররা সবসময় অ্যাপের উন্নতির জন্য কাজ করে, প্রতিটি আপডেটের সাথে আরও ভাল গ্রাহক অভিজ্ঞতার কথা মাথায় রেখে।

যোগাযোগ অবকাঠামো

পাওয়ারলেস ক্যাম্পেইনে ব্যবহৃত C&C পরিকাঠামোতে পিগিব্যাক করার পাশাপাশি, ব্যালিস্টিক ববক্যাট একটি নতুন C&C সার্ভারও চালু করেছে। স্পন্সরিং অ্যাক্সেস ক্যাম্পেইন চলাকালীন সমর্থন সরঞ্জামগুলি সংরক্ষণ এবং সরবরাহ করতে গ্রুপটি একাধিক আইপি ব্যবহার করেছে। আমরা নিশ্চিত করেছি যে এই আইপিগুলির একটিও এই সময়ে চালু নেই।

উপসংহার

ব্যালিস্টিক ববক্যাট একটি স্ক্যান-এবং-শোষণ মডেলে কাজ চালিয়ে যাচ্ছে, ইন্টারনেট-উন্মুক্ত মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলিতে অস্বাভাবিক দুর্বলতার সাথে সুযোগের লক্ষ্যগুলি সন্ধান করছে। গোষ্ঠীটি তার স্পনসর ব্যাকডোর সহ বেশ কয়েকটি কাস্টম অ্যাপ্লিকেশনের সাথে সম্পূরক একটি বৈচিত্র্যময় ওপেন-সোর্স টুলসেট ব্যবহার করে চলেছে। রক্ষকদের ভালভাবে পরামর্শ দেওয়া হবে যে কোনও ইন্টারনেট-উন্মুক্ত ডিভাইস প্যাচ করুন এবং তাদের প্রতিষ্ঠানের মধ্যে নতুন অ্যাপ্লিকেশনের জন্য সজাগ থাকুন।

WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.

আইওসি

নথি পত্র

রয়েছে SHA-1	ফাইলের নাম	সনাক্তকরণ	বিবরণ
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v1)।
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v2)।
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v3)।
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v4)।
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	ব্যালিস্টিক ববক্যাট ব্যাকডোর, স্পনসর (v5, ওরফে অ্যালুমিনা)।
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	RevSocks বিপরীত টানেল.
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	পরিষ্কার	ProcDump, অ্যাপ্লিকেশন নিরীক্ষণ এবং ক্র্যাশ ডাম্প তৈরি করার জন্য একটি কমান্ড লাইন ইউটিলিটি।
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	জেনেরিক.EYWYQYF	মিমিকাটজ।
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	যান সরল টানেল (GOST)।
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.Chisel.A	চিসেল রিভার্স টানেল।
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	Host2IP আবিষ্কার টুল।
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks টানেল, Enigma Protector সফ্টওয়্যার সুরক্ষার ট্রায়াল সংস্করণ দিয়ে সুরক্ষিত।
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link), একটি কমান্ড লাইন সংযোগ টুল।
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	ওয়েব ব্রাউজারে সংরক্ষিত পাসওয়ার্ডের জন্য একটি পাসওয়ার্ড পুনরুদ্ধারের সরঞ্জাম।
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	এসকিউএল ডাটাবেসের সাথে ইন্টারঅ্যাক্ট করার এবং ডেটা বের করার জন্য একটি টুল।

 

ফাইল পাথ

নিম্নলিখিত পথগুলির একটি তালিকা যেখানে স্পন্সর ব্যাকডোর শিকার মেশিনে স্থাপন করা হয়েছিল।

%SYSTEMDRIVE%inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

%USERPROFILE%AppDataLocalTemp2low

%USERPROFILE%ডেস্কটপ

%USERPROFILE%ডাউনলোড

%WINDIR%

%WINDIR%INFMSEএক্সচেঞ্জ ডেলিভারি DSN

%WINDIR%টাস্ক

%WINDIR%Temp%WINDIR%Tempcrashpad1ফাইল

নেটওয়ার্ক

IP	প্রদানকারী	প্রথম দেখা	শেষ দেখা	বিস্তারিত
162.55.137[।]20	Hetzner অনলাইন GMBH	2021-06-14	2021-06-15	পাওয়ারলেস সি অ্যান্ড সি।
37.120.222[।]168	M247 LTD	2021-11-28	2021-12-12	স্পনসর C&C.
198.144.189[।]74	কোলোক্রসিং	2021-11-29	2021-11-29	সমর্থন টুল ডাউনলোড সাইট.
5.255.97[।]172	ইনফ্রাস্ট্রাকচার গ্রুপ বিভি	2021-09-05	2021-10-28	সমর্থন টুল ডাউনলোড সাইট.

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 13 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.

যুদ্ধকৌশল	ID	নাম	বিবরণ
পরিদর্শনকরণ	T1595	সক্রিয় স্ক্যানিং: দুর্বলতা স্ক্যানিং	ব্যালিস্টিক ববক্যাট মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারের দুর্বল সংস্করণগুলিকে কাজে লাগানোর জন্য স্ক্যান করে৷
রিসোর্স ডেভলপমেন্ট	T1587.001	সক্ষমতা বিকাশ: ম্যালওয়্যার	ব্যালিস্টিক ববক্যাট স্পন্সর ব্যাকডোর ডিজাইন এবং কোড করেছে।
	T1588.002	প্রাপ্ত ক্ষমতা: টুল	ব্যালিস্টিক ববক্যাট স্পনসরিং অ্যাক্সেস ক্যাম্পেইনের অংশ হিসেবে বিভিন্ন ওপেন সোর্স টুল ব্যবহার করে।
প্রাথমিক অ্যাক্সেস	T1190	পাবলিক-ফেসিং অ্যাপ্লিকেশন শোষণ	ব্যালিস্টিক ববক্যাট ইন্টারনেট-উন্মুক্ত লক্ষ্য করে  মাইক্রোসফট এক্সচেঞ্জ সার্ভার।
ফাঁসি	T1059.003	কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: উইন্ডোজ কমান্ড শেল	স্পন্সর ব্যাকডোর উইন্ডোজ কমান্ড শেল ব্যবহার করে শিকারের সিস্টেমে কমান্ড চালানোর জন্য।
	T1569.002	সিস্টেম সার্ভিস: সার্ভিস এক্সিকিউশন	পৃষ্ঠপোষক ব্যাকডোর নিজেকে একটি পরিষেবা হিসাবে সেট করে এবং পরিষেবাটি কার্যকর হওয়ার পরে এর প্রাথমিক কাজগুলি শুরু করে৷
অধ্যবসায়	T1543.003	সিস্টেম প্রক্রিয়া তৈরি বা পরিবর্তন করুন: উইন্ডোজ পরিষেবা	স্পনসর স্বয়ংক্রিয় স্টার্টআপ সহ একটি পরিষেবা তৈরি করে অধ্যবসায় বজায় রাখে যা একটি লুপে তার প্রাথমিক ফাংশনগুলি সম্পাদন করে।
প্রিভিলেজ এসকেলেশন	T1078.003	বৈধ অ্যাকাউন্ট: স্থানীয় অ্যাকাউন্ট	ব্যালিস্টিক ববক্যাট অপারেটররা স্পনসর ব্যাকডোর স্থাপন করার আগে প্রাথমিকভাবে একটি সিস্টেম শোষণ করার পরে বৈধ ব্যবহারকারীদের শংসাপত্র চুরি করার চেষ্টা করে।
প্রতিরক্ষা ফাঁকি	T1140	Deobfuscate/ডিকোড ফাইল বা তথ্য	স্পনসর এনক্রিপ্ট করা এবং অস্পষ্ট ডিস্কে তথ্য সঞ্চয় করে এবং রানটাইমে এটিকে ডিঅফসকেট করে।
	T1027	অস্পষ্ট ফাইল বা তথ্য	স্পন্সর ব্যাকডোর ডিস্কে প্রয়োজনীয় কনফিগারেশন ফাইলগুলি এনক্রিপ্ট করা এবং অস্পষ্ট।
	T1078.003	বৈধ অ্যাকাউন্ট: স্থানীয় অ্যাকাউন্ট	স্পনসর প্রশাসক বিশেষাধিকার সহ কার্যকর করা হয়, সম্ভবত অপারেটররা ডিস্কে পাওয়া শংসাপত্রগুলি ব্যবহার করে; ব্যালিস্টিক ববক্যাটের নিরীহ নামকরণ প্রথার সাথে, এটি পৃষ্ঠপোষককে পটভূমিতে মিশে যেতে দেয়।
শংসাপত্র অ্যাক্সেস	T1555.003	পাসওয়ার্ড স্টোর থেকে শংসাপত্র: ওয়েব ব্রাউজার থেকে শংসাপত্র	ব্যালিস্টিক ববক্যাট অপারেটররা ওয়েব ব্রাউজারের ভিতরে পাসওয়ার্ড স্টোর থেকে শংসাপত্র চুরি করতে ওপেন সোর্স টুল ব্যবহার করে।
আবিষ্কার	T1018	দূরবর্তী সিস্টেম আবিষ্কার	ব্যালিস্টিক ববক্যাট Host2IP টুল ব্যবহার করে, যা পূর্বে Agrius দ্বারা ব্যবহার করা হয়েছিল, পৌঁছানো যায় এমন নেটওয়ার্কের মধ্যে অন্যান্য সিস্টেমগুলি আবিষ্কার করতে এবং তাদের হোস্টনাম এবং IP ঠিকানাগুলিকে সংযুক্ত করতে।
কমান্ড এবং কন্ট্রোল	T1001	ডেটা অস্পষ্টতা	C&C সার্ভারে পাঠানোর আগে পৃষ্ঠপোষক ব্যাকডোর ডেটা অস্পষ্ট করে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/