নতুন এন্ডগেম ম্যালওয়্যার প্রচারাভিযান রাউটারকে লক্ষ্য করে

by

HiatusRAT নামে একটি নতুন ম্যালওয়্যার রাউটারকে তার লক্ষ্যবস্তুতে গুপ্তচরবৃত্তি করতে সংক্রামিত করে, বেশিরভাগ ইউরোপ এবং মার্কিন যুক্তরাষ্ট্রে শিখুন কোন রাউটার মডেলগুলি প্রধানত লক্ষ্যবস্তু করা হয় এবং কীভাবে এই নিরাপত্তা হুমকি এড়াতে হয়।

ছবি: Xiaoliangge/Adobe Stock

পূর্বের মত উন্মুক্তরাউটারগুলি প্রায়ই ম্যালওয়্যার লাগানোর জন্য দক্ষ জায়গা হিসাবে ঝুঁকির কারণগুলি ব্যবহার করতে পারে। সাইবার গুপ্তচরবৃত্তি, রাউটারগুলি প্রায়ই স্ট্যান্ডার্ড ডিভাইসের তুলনায় কম সুরক্ষিত এবং প্রায়ই বিদ্যমান অপারেটিং সিস্টেমের পরিবর্তিত সংস্করণ ব্যবহার করে। অতএব, রাউটারগুলি আক্রমণকারীদের লক্ষ্য করা আকর্ষণীয় হতে পারে তবে সাধারণ শেষ পয়েন্ট বা সার্ভারের তুলনায় আপস করা এবং অ্যাক্সেস করা আরও কঠিন।

লুমেনের কালো লোটাস ল্যাব উন্মোচন করেছে নতুন ম্যালওয়্যার টার্গেটিং রাউটার গবেষকদের দ্বারা হাইটাস নামে একটি প্রচারে।

লাফ দাও:

ইন্টারভাল ম্যালওয়্যার ক্যাম্পেইন কি?

ল্যাগ ক্যাম্পেইনটি মূলত DrayTek Vigor রাউটার মডেল 2960 এবং 3900 কে লক্ষ্য করে যা i386 আর্কিটেকচারে চলে। এই রাউটারগুলি বেশিরভাগ মাঝারি আকারের কোম্পানি দ্বারা ব্যবহৃত হয়, কারণ রাউটারের ক্ষমতা কয়েকশ কর্মচারীর ভিপিএন সংযোগ সমর্থন করে।

গবেষকরা এমআইপিএস এবং এআরএম-ভিত্তিক আর্কিটেকচারকে লক্ষ্য করে অন্যান্য দূষিত বাইনারিও খুঁজে পেয়েছেন।

প্রাথমিক সমঝোতা ভেক্টর অজানা রয়ে গেছে, তবুও আক্রমণকারীরা একটি লক্ষ্যযুক্ত রাউটারে পৌঁছালে, তারা একটি ব্যাশ স্ক্রিপ্ট ফেলে দেয়। যখন সেই ব্যাশ স্ক্রিপ্টটি কার্যকর করা হয়, তখন এটি দুটি অতিরিক্ত ফাইল ডাউনলোড করে: HiatusRAT ম্যালওয়্যার এবং বৈধ tcpdump টুলের একটি সংস্করণ, যা নেটওয়ার্ক প্যাকেট ক্যাপচার সক্ষম করে।

একবার সেই ফাইলগুলি চালানো হলে, আক্রমণকারীরা রাউটারের নিয়ন্ত্রণে থাকে এবং ফাইলগুলি ডাউনলোড করতে পারে বা নির্বিচারে কমান্ড চালাতে পারে, সংক্রামিত ডিভাইসগুলি থেকে নেটওয়ার্ক ট্র্যাফিক বাধা দিতে পারে বা রাউটারটিকে একটি হিসাবে ব্যবহার করতে পারে। মোজা5 প্রক্সি ডিভাইস, যা আরও আপস করতে বা অন্যান্য কোম্পানিকে টার্গেট করতে ব্যবহার করা যেতে পারে।

HiatusRAT ম্যালওয়্যার

RAT চালু হলে, পোর্ট 8816 ব্যবহার করা হয়েছে কিনা তা পরীক্ষা করে। যদি পোর্টটি একটি প্রক্রিয়া দ্বারা ব্যবহার করা হয়, এটি এটিকে মেরে ফেলে এবং পোর্টে একটি নতুন শ্রোতা খোলে, এটি নিশ্চিত করে যে ডিভাইসে ম্যালওয়্যারের একটি মাত্র উদাহরণ চলছে।

তারপর এটি আপস করা ডিভাইস সম্পর্কে সিস্টেম তথ্য (যেমন কার্নেল সংস্করণ, MAC ঠিকানা, আর্কিটেকচারের ধরন এবং ফার্মওয়্যার সংস্করণ), নেটওয়ার্কিং তথ্য (নেটওয়ার্ক ইন্টারফেস কনফিগারেশন এবং স্থানীয় আইপি ঠিকানা) এবং ফাইল সিস্টেম তথ্য (মাউন্ট পয়েন্ট, ডিরেক্টরি তালিকা) সংগ্রহ করে। তথ্য সংগ্রহ করে। ভিতরে ফাইল সিস্টেম টাইপ এবং ভার্চুয়াল মেমরি ফাইল সিস্টেম)। উপরন্তু, এটি সমস্ত চলমান প্রক্রিয়াগুলির একটি তালিকা সংগ্রহ করে।

সেই সমস্ত তথ্য সংগ্রহ করার পর, ম্যালওয়্যারটি আক্রমণকারী-নিয়ন্ত্রিত হার্টবিট C2 সার্ভারে পাঠায়।

ম্যালওয়্যারের আরও ক্ষমতা রয়েছে, যেমন এর কনফিগারেশন ফাইল আপডেট করা, আক্রমণকারীকে একটি দূরবর্তী শেল প্রদান করা, ফাইলগুলি পড়া/মুছে ফেলা/আপলোড করা, ফাইল ডাউনলোড করা এবং কার্যকর করা, বা SOCKS5 প্যাকেট ফরওয়ার্ডিং বা প্লেইন TCP প্যাকেট ফরওয়ার্ডিং সক্ষম করা।

নেটওয়ার্ক প্যাকেট ক্যাপচার

HiatusRAT ছাড়াও, হুমকি অভিনেতা বৈধ tcpdump টুলের একটি সংস্করণও স্থাপন করে, যা আপস করা ডিভাইসে নেটওয়ার্ক প্যাকেট ক্যাপচার করতে সক্ষম করে।

হুমকি অভিনেতার দ্বারা ব্যবহৃত ব্যাশ স্ক্রিপ্ট 21, 25, 110 এবং 143 পোর্টে সংযোগের জন্য বিশেষ আগ্রহ দেখিয়েছে, যা সাধারণত ফাইল ট্রান্সফার প্রোটোকল এবং ইমেল ট্রান্সফার (SMTP, POP3, এবং IMAP ইমেল প্রোটোকল) এর জন্য নিবেদিত।

প্রয়োজনে স্ক্রিপ্টটি আরও পোর্ট স্নিফিং সক্ষম করে। যদি ব্যবহার করা হয়, প্যাকেট ইন্টারসেপশন একটি নির্দিষ্ট দৈর্ঘ্যে পৌঁছানোর পরে, ক্যাপচার করা প্যাকেট আপলোড C2 এ পাঠানো হয়, যা হার্টবিট C2 থেকে আলাদা।

এটি হুমকি অভিনেতাকে এফটিপি প্রোটোকলের মাধ্যমে স্থানান্তরিত সম্পূর্ণ ফাইলগুলি বা সংক্রামিত ডিভাইসটি অতিক্রম করার ইমেলের মাধ্যমে প্যাসিভভাবে বাধা দিতে দেয়।

প্রচারাভিযান টার্গেটিং

ব্ল্যাক লোটাস ল্যাবস জুলাই 2022 থেকে আনুমানিক 100টি অনন্য আইপি ঠিকানা চিহ্নিত করেছে যা একটি হুমকি অভিনেতা দ্বারা নিয়ন্ত্রিত C2 সার্ভারের সাথে যোগাযোগ করে, যা দুটি বিভাগে শ্রেণীবদ্ধ করা যেতে পারে:

  • মাঝারি আকারের কোম্পানিগুলি তাদের নিজস্ব ইমেল সার্ভার চালায় কখনও কখনও ইন্টারনেটে আইপি ঠিকানার রেঞ্জ থাকে যা তাদের সনাক্ত করতে সক্ষম করে। অন্যদের মধ্যে ফার্মাসিউটিক্যালস, আইটি পরিষেবা বা পরামর্শকারী সংস্থা এবং একটি পৌরসভা সরকারের মতো কোম্পানিগুলিকে চিহ্নিত করা যেতে পারে। গবেষকরা সন্দেহ করেন যে আইটি সংস্থাগুলিকে টার্গেট করা গ্রাহকদের পরিবেশে ডাউনস্ট্রিম অ্যাক্সেস সক্ষম করার একটি বিকল্প।
  • টার্গেট দ্বারা ব্যবহৃত ইন্টারনেট পরিষেবা প্রদানকারীর গ্রাহক আইপি পরিসর।

লক্ষ্যগুলির ভৌগোলিক পুনর্বন্টন উত্তর আমেরিকা ছাড়াও যুক্তরাজ্যের কোম্পানিগুলি এবং অন্যান্য ইউরোপীয় দেশগুলির থেকে ব্যাপক আগ্রহ দেখায় (চিত্র A,

চিত্র A

বিরতিমূলক ম্যালওয়্যার প্রচার সংক্রমণের জন্য তাপ মানচিত্র।
চিত্র: লুমেনের কালো লোটাস ল্যাব। বিরতিমূলক ম্যালওয়্যার প্রচার সংক্রমণের জন্য তাপ মানচিত্র।

গবেষকরা যেমন উল্লেখ করেছেন, প্রায় 2,700 DrayTek Vigor 2960 রাউটার এবং 1,400 DrayTek Vigor 3900 রাউটার ইন্টারনেটের সাথে সংযুক্ত। এই রাউটারগুলির মধ্যে মাত্র 100 টির সংক্রমণ প্রচারটিকে ছোট এবং সনাক্ত করা কঠিন করে তোলে; হাজার হাজারের মধ্যে মাত্র 100টি রাউটার প্রভাবিত হওয়ার বিষয়টি এই সম্ভাবনার উপর জোর দেয় যে হুমকি অভিনেতা শুধুমাত্র নির্দিষ্ট লক্ষ্যগুলিকে লক্ষ্য করে এবং ব্যাপক লক্ষ্যবস্তুতে আগ্রহী নয়।

ম্যালওয়্যার হুমকি থেকে মুক্ত স্থান রক্ষা করার জন্য 4টি পদক্ষেপ

1. রাউটারগুলি নিয়মিত রিবুট করুন এবং তাদের ফার্মওয়্যার এবং সফ্টওয়্যারকে প্যাচ করে রাখুন যাতে সাধারণ দুর্বলতাগুলি তাদের সাথে আপোস না করে।

2. রাউটারের আচরণ লগ এবং নিরীক্ষণ করার ক্ষমতা সহ নিরাপত্তা সমাধান স্থাপন করুন।

3. মেয়াদোত্তীর্ণ ডিভাইসগুলি পর্যায়ক্রমে আউট করা উচিত এবং সমর্থিত মডেলগুলির সাথে প্রতিস্থাপন করা উচিত যা সর্বাধিক সুরক্ষার জন্য আপডেট করা যেতে পারে।

4. রাউটারের মধ্য দিয়ে যাওয়া সমস্ত ট্র্যাফিক অবশ্যই এনক্রিপ্ট করা উচিত যাতে বাধা দেওয়া হলেও এটি শোষণযোগ্য না হয়।

আরও পড়ুন: অনুপ্রবেশ সনাক্তকরণ নীতি (টেকরিপাবলিক প্রিমিয়াম)

প্রকাশ: আমি ট্রেন্ড মাইক্রোর জন্য কাজ করি, কিন্তু এই নিবন্ধে প্রকাশিত মতামত আমার নিজস্ব।

Source link

Leave a Comment