Zephyrnet লোগো

জেনারেটিভ ডেটা ইন্টেলিজেন্স

সাইবার নিরাপত্তা

চীনা এপিটি 'আর্থ ক্রাহাং' 48টি মহাদেশে 5টি সরকারী সংস্থার সাথে আপস করেছে

প্লেটো দ্বারা প্রকাশিত
প্লেটো দ্বারা প্রকাশিত

তারিখ:

দেখা হয়েছে: 138

একটি পূর্বে অজ্ঞাত চীনা গুপ্তচর গোষ্ঠী 70টি দেশে কমপক্ষে 23টি সংস্থা লঙ্ঘন করতে সক্ষম হয়েছে, যার মধ্যে 48টি সরকারী জায়গায় রয়েছে, বরং স্ট্যান্ডার্ড-ফেয়ার কৌশল, কৌশল এবং পদ্ধতি (টিটিপি) ব্যবহার করা সত্ত্বেও।

"আর্থ ক্রাহাং" একটি উচ্চ-স্তরের সামরিক APT বলে মনে হয় না। ভিতরে একটি নতুন রিপোর্ট, ট্রেন্ড মাইক্রো থেকে গবেষকরা পরামর্শ দিয়েছেন যে এটি একটি উইং হতে পারে iSoon, একটি ব্যক্তিগত হ্যাক-ফর-হায়ার অপারেশন চীনা কমিউনিস্ট পার্টি (সিসিপি) দ্বারা চুক্তিবদ্ধ। এবং অতি-অত্যাধুনিক ম্যালওয়্যার এবং স্টিলথ কৌশল ব্যবহার করার পরিবর্তে এই ধরনের একটি সাইবার ক্রাইম অপারেশন ফিট করা, এটি তার লক্ষ্যগুলিকে পরাস্ত করতে ব্যাপকভাবে ওপেন সোর্স এবং ভাল-ডকুমেন্টেড সরঞ্জামগুলির একটি অস্ত্রাগার এবং একদিনের দুর্বলতা এবং স্ট্যান্ডার্ড সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করে৷

এতদসত্ত্বেও এর শিকারের তালিকায় প্রতিদ্বন্দ্বী পছন্দের ভোল্ট টাইফুন, ব্ল্যাকটেক, এবং মুস্তাং পান্ডা.

116টি দেশে 35টিরও কম সংস্থাকে লক্ষ্যবস্তু করে, গ্রুপটির অন্তত 70টি নিশ্চিত সমঝোতা রয়েছে, যার মধ্যে চার ডজন বিভিন্ন বিশ্ব সরকারের সাথে যুক্ত। একটি ক্ষেত্রে, এটি 11টি সরকারী মন্ত্রণালয়ের সাথে যুক্ত বিস্তৃত সংস্থাগুলিকে লঙ্ঘন করতে সক্ষম হয়েছে। ভুক্তভোগীরা শিক্ষা ও টেলিযোগাযোগ খাত, অর্থ, আইটি, খেলাধুলা এবং আরও অনেক কিছুতেও ছড়িয়ে পড়েছে। শিকারের সর্বাধিক ঘনত্ব এশিয়া থেকে আসে, তবে কেসগুলি আমেরিকা (মেক্সিকো, ব্রাজিল, প্যারাগুয়ে), ইউরোপ (ব্রিটেন, হাঙ্গেরি) এবং আফ্রিকা (মিশর, দক্ষিণ আফ্রিকা)ও কভার করে।

ক্রিটিক্যাল স্টার্টের সাইবার হুমকি গবেষণার সিনিয়র ম্যানেজার ক্যালি গুয়েন্থার বলেছেন, "সরকারি সংস্থাগুলির সাথে আপস করার জন্য ওপেন সোর্স সরঞ্জামগুলির ব্যবহার উল্লেখযোগ্য, তবে সম্পূর্ণ বিস্ময়কর নয়।" "সরকারের প্রায়শই বিশাল এবং জটিল আইটি অবকাঠামো থাকে, যা নিরাপত্তা অনুশীলনে অসঙ্গতি সৃষ্টি করতে পারে এবং মৌলিক ওপেন সোর্স টুল ব্যবহার করা সহ সমস্ত ধরণের আক্রমণ থেকে রক্ষা করা কঠিন করে তোলে।"

পৃথিবী Krahang এর অনুপ্রবেশ কৌশল

কিছু সফল চীনা এপিটি তাদের সাথে নিজেদের আলাদা করে অনন্য শূন্য-দিন or জটিল কৌশল তারা বন্ধ টান অন্য সবার চেয়ে ভালো।

আর্থ ক্রাহাং একটি জ্যাক-অফ-অল-ট্রেডের বেশি।

এর প্রথম পদক্ষেপ হল সরকারি প্রতিষ্ঠানের সাথে সংযুক্ত সার্ভারের মতো জনসাধারণের মুখোমুখী সার্ভারের জন্য ওয়েব স্ক্যান করা। দুর্বলতা যাচাই করার জন্য এটি ব্যবহার করতে পারে, এটি sqlmap, নিউক্লিয়া, xray, vscan, pocsuite এবং wordpressscan সহ যেকোনও সংখ্যক ওপেন সোর্স, অফ-দ্য-শেল্ফ টুলগুলির একটি ব্যবহার করে। দুটি বাগ বিশেষ করে যার উপর আর্থ ক্রাহাং শিকার করতে পছন্দ করে তা হল CVE-2023-32315 — রিয়েল-টাইম কোলাবরেশন সার্ভার Openfire-এ CVSS দ্বারা 7.5 রেট দেওয়া একটি কমান্ড এক্সিকিউশন বাগ — এবং CVE-2022-21587 — একটি 9.8-রেটেড কমান্ড এক্সিকিউশন ওরাকলের ই-বিজনেস স্যুটে ওয়েব অ্যাপ্লিকেশন ডেস্কটপ ইন্টিগ্রেটরের সাথে।

এটি একটি পাবলিক সার্ভারে একটি টোহোল্ড স্থাপন করার পরে, গ্রুপটি সংবেদনশীল ফাইল, পাসওয়ার্ড (বিশেষ করে ইমেলের জন্য) এবং অন্যান্য দরকারী সংস্থানগুলির জন্য স্ক্যান করতে আরও ওপেন সোর্স সফ্টওয়্যার ব্যবহার করে, যেমন একাকী সাবডোমেন যা আরও অপরিবর্তিত সার্ভারের দিকে নির্দেশ করতে পারে। এটি বেশ কয়েকটি নৃশংস শক্তি আক্রমণও নিযুক্ত করে — উদাহরণস্বরূপ, ওয়েবে আউটলুকের মাধ্যমে মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলি ক্র্যাক করার জন্য সাধারণ পাসওয়ার্ডগুলির একটি তালিকা ব্যবহার করে৷

"যদিও এটি মনে হতে পারে যে ওপেন সোর্স সনাক্ত করা সহজ হওয়া উচিত," জন ক্লে বলেছেন, ট্রেন্ড মাইক্রোতে হুমকি বুদ্ধিমত্তার ভাইস প্রেসিডেন্ট, "বাস্তবতা হল এখানে অনেক টিটিপি আছে যেগুলিকে খুঁজে বের করতে হবে এবং সনাক্ত করতে হবে৷ এছাড়াও, এই প্রতিপক্ষের দ্বারা প্রতিরক্ষা ফাঁকি দেওয়ার কৌশলের ব্যবহার নিশ্চিত করতে ব্যবহার করা যেতে পারে যাতে ক্ষতিগ্রস্তরা রক্ষা করতে অক্ষম হয়।"

আর্থ ক্রাহাং এর শোষণ এবং স্টিলথ কৌশল

এই সবের শেষে (এবং আরও অনেক কিছু), আক্রমণকারী দুটি প্রাথমিক ক্রিয়া সম্পাদন করতে পারে: আপোসকৃত সার্ভারগুলিতে ব্যাকডোর ড্রপ, এবং ইমেল অ্যাকাউন্ট হাইজ্যাক করে৷

পরেরটি বিশেষ কাজে লাগে। "তাদের আক্রমণকে সমর্থন করার জন্য বৈধ সিস্টেম এবং ইমেল অ্যাকাউন্টগুলির ব্যবহার এখানে বিশেষভাবে আকর্ষণীয়, কারণ এই প্রতিপক্ষ বৈধ অ্যাকাউন্ট ব্যবহার করে একজন শিকারকে বোকা বানানোর জন্য তারা নিরাপদ মনে করে," ক্লে ব্যাখ্যা করেন। উচ্চ-মূল্যের পরিচিতিগুলির একটি তালিকা এবং একটি আন্তরিক অ্যাকাউন্ট ব্যবহার করে অর্জিত বৈধতা সহ, গ্রুপটি বিলের সাথে মানানসই বিষয় লাইন সহ ইমেল পাঠায় - যেমন "মালয়েশিয়ার প্রতিরক্ষা মন্ত্রণালয়ের সার্কুলার" - দূষিত URL বা সংযুক্তি এবং ফাইলের নাম যা করে একই — যেমন "Turkmenistan.exe-তে প্যারাগুয়ের পররাষ্ট্রমন্ত্রীর সফরে।"

ইমেলের মাধ্যমে হোক বা ওয়েব সার্ভারে দুর্বলতা হোক, আর্থ ক্রাহাং-এর বিভিন্ন লক্ষ্য এক বা একাধিক ব্যাকডোর ডাউনলোড করে।

এর প্রথম দিকের আক্রমণে, প্রায় 2022, গ্রুপটি AES-এনক্রিপ্টেড কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের সাথে তথ্য সংগ্রহ, ফাইল ড্রপ, এবং সিস্টেম কমান্ড কার্যকর করার জন্য একটি সহজ কাস্টম-মেড .NET টুল "RESHELL" ব্যবহার করেছিল।

2023 সালে, গোষ্ঠীটি "XDealer"-এ চলে গেছে, যেটিতে কী-লগিং, স্ক্রিনশট করা এবং ক্লিপবোর্ড থেকে চুরি করা সহ আরও ক্ষমতা রয়েছে। উইন্ডোজ এবং লিনাক্স উভয়ের সাথে সামঞ্জস্যপূর্ণ হওয়ার পাশাপাশি, XDealer এছাড়াও উল্লেখযোগ্য কারণ এর কিছু লোডারে বৈধ কোড-সাইনিং শংসাপত্র রয়েছে। ট্রেন্ড মাইক্রো অনুমান করে যে এই শংসাপত্রগুলি - একটি বৈধ মানব সম্পদ সংস্থার এবং অন্যটি একটি গেম ডেভেলপমেন্ট কোম্পানির - নতুন সিস্টেমে ম্যালওয়্যার ডাউনলোড করার সময় কভারের একটি অতিরিক্ত স্তর সরবরাহ করার জন্য সম্ভবত চুরি করা হয়েছিল৷

আর্থ ক্রাহাংও ব্যবহার করেছেন প্লাগএক্সের মতো প্রাচীন হুমকি এবং শ্যাডোপ্যাড, এবং এটি প্রায়শই কোবাল্ট স্ট্রাইককে অন্য একটি ওপেন সোর্স টুল (RedGuard) এর সাথে একত্রিত করে যা সাইবার নিরাপত্তা বিশ্লেষকদের C2 অবকাঠামো পিন করা থেকে বাধা দেয়।

যেহেতু হুমকি অভিনেতা তুলনামূলকভাবে সোজা-শ্যুটিং, গুয়েন্থার পরামর্শ দেন যে "এই টিটিপিগুলির বিরুদ্ধে সুরক্ষার জন্য আদর্শ সেরা অনুশীলনগুলি সুপারিশ করা হয়৷ সংস্থাগুলিকে স্পিয়ার ফিশিং থেকে রক্ষা করার জন্য তাদের ইমেল সুরক্ষা উন্নত করা উচিত, পরিচিত দুর্বলতার বিরুদ্ধে সুরক্ষার জন্য তাদের সিস্টেমগুলিকে নিয়মিত আপডেট এবং প্যাচ করা উচিত এবং তাদের নেটওয়ার্কের মধ্যে আক্রমণকারীর বিস্তার সীমিত করার জন্য নেটওয়ার্ক বিভাজন নিয়োগ করা উচিত। অস্বাভাবিক নেটওয়ার্ক ট্র্যাফিক এবং অস্বাভাবিক অ্যাক্সেস প্যাটার্নের জন্য নিরীক্ষণ করা এই ধরনের প্রচারণার প্রাথমিক সনাক্তকরণেও সাহায্য করতে পারে।"

স্পট_আইএমজি

সর্বশেষ বুদ্ধিমত্তা

স্পট_আইএমজি

কপিরাইট @ 2024 Plato Technologies Inc.