একজন অজানা হুমকি অভিনেতা 2023 সালের শেষের দিকে ইউক্রেনের সরকারী সত্ত্বাকে টার্গেট করেছে একটি পুরানো মাইক্রোসফ্ট অফিস রিমোট কোড এক্সিকিউশন (RCE) ব্যবহার করে 2017 থেকে (জন্য CVE-2017-8570) প্রাথমিক ভেক্টর এবং লোভ হিসাবে সামরিক যান।
হুমকি অভিনেতা নিরাপদ মেসেজিং প্ল্যাটফর্ম সিগন্যালে একটি বার্তার মাধ্যমে সংযুক্তি হিসাবে পাঠানো একটি দূষিত পাওয়ারপয়েন্ট ফাইল (.PPSX) ব্যবহার করে আক্রমণটি শুরু করেছিলেন। এই ফাইলটি, যা ট্যাঙ্কের জন্য মাইন-ক্লিয়ারিং ব্লেডের জন্য মার্কিন সেনাবাহিনীর একটি পুরানো নির্দেশিকা ম্যানুয়াল হিসাবে ছদ্মবেশী, প্রকৃতপক্ষে ক্লাউডফ্লেয়ার দ্বারা সুরক্ষিত একটি রাশিয়ান ভার্চুয়াল প্রাইভেট সার্ভার (VPS) প্রদানকারী ডোমেনে হোস্ট করা একটি বহিরাগত স্ক্রিপ্টের সাথে একটি দূরবর্তী সম্পর্ক ছিল।
একটি অনুসারে, RCE অর্জনের জন্য স্ক্রিপ্টটি CVE-2017-8570 কাজে লাগিয়েছে গভীর প্রবৃত্তি ব্লগ পোস্ট তথ্য চুরি করার প্রয়াসে এই সপ্তাহে হামলা হয়েছে।
একটি কৌশলী সাইবার আক্রমণের হুডের নীচে
টেকনিক্যাল নিটি-গ্রিটির পরিপ্রেক্ষিতে, অস্পষ্ট স্ক্রিপ্টটি Cisco AnyConnect APN কনফিগারেশন হিসাবে ছদ্মবেশিত এবং এটি ডিস্কে এম্বেড করা পেলোডকে স্থিরতা, ডিকোডিং এবং সংরক্ষণের জন্য দায়ী, যা সনাক্তকরণ এড়াতে বিভিন্ন পর্যায়ে ঘটেছিল।
পেলোডে একটি লোডার/প্যাকার ডায়নামিক লিংক লাইব্রেরি (DLL) রয়েছে যার নাম “vpn.sessings” যা মেমরিতে একটি কোবাল্ট স্ট্রাইক বীকন লোড করে এবং আক্রমণকারীর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে নির্দেশের জন্য অপেক্ষা করে।
ডিপ ইন্সটিংক্টের থ্রেট ল্যাব টিম লিডার মার্ক ভাইটজম্যান নোট করেছেন যে পেনিট্রেশন টেস্টিং টুল কোবাল্ট স্ট্রাইক হুমকি অভিনেতাদের মধ্যে খুব সাধারণভাবে ব্যবহৃত হয়, কিন্তু এই বিশেষ বীকনটি একটি কাস্টম লোডার ব্যবহার করে যা বিশ্লেষণকে ধীর করে এমন বিভিন্ন কৌশলের উপর নির্ভর করে।
"প্রাথমিক পায়ের ছাপ সেট হয়ে গেলে আক্রমণকারীদেরকে পার্শ্বীয়ভাবে সরানোর একটি সহজ উপায় প্রদান করার জন্য এটি ক্রমাগত আপডেট করা হয়," তিনি বলেছেন। "[এবং] এটি বেশ কয়েকটি বিরোধী বিশ্লেষণ এবং অনন্য ফাঁকি কৌশলগুলিতে প্রয়োগ করা হয়েছিল।"
ভাইটজম্যান নোট করেছেন যে 2022 সালে, কোবল্ট স্ট্রাইকে RCE-এর অনুমতি দেয় এমন একটি গুরুতর CVE পাওয়া গিয়েছিল — এবং অনেক গবেষক ভবিষ্যদ্বাণী করেছিলেন যে হুমকি অভিনেতারা ওপেন সোর্স বিকল্প তৈরি করার জন্য টুলটিকে পরিবর্তন করবে।
"আন্ডারগ্রাউন্ড হ্যাকিং ফোরামে বেশ কিছু ক্র্যাকড সংস্করণ পাওয়া যাবে," তিনি বলেছেন।
কোবল্ট স্ট্রাইকের টুইক করা সংস্করণের বাইরে, তিনি বলেছেন, প্রচারণাটি সেই দৈর্ঘ্যের জন্যও উল্লেখযোগ্য যা হুমকি অভিনেতারা তাদের ফাইল এবং কার্যকলাপকে একটি বৈধ, রুটিন ওএস এবং সাধারণ অ্যাপ্লিকেশন অপারেশন হিসাবে গোপন রাখার এবং নিয়ন্ত্রণ বজায় রাখার জন্য ক্রমাগত চেষ্টা করে। যতক্ষণ সম্ভব সংক্রামিত মেশিনের। এই প্রচারণায় তিনি বলেন, হামলাকারীরা এটা নিয়ে গেছে "জমি থেকে বেঁচে থাকার" কৌশল আরও।
"এই আক্রমণ অভিযানটি বেশ কিছু মাস্করেডিং কৌশল এবং অধ্যবসায়ের একটি স্মার্ট উপায় দেখায় যা এখনও নথিভুক্ত করা হয়নি," তিনি ব্যাখ্যা করেন, বিশদ বিবরণ না দিয়ে।
সাইবারথ্রেট গ্রুপ অজানা মেক এবং মডেল আছে
ইউক্রেনকে টার্গেট করা হয়েছে রাশিয়ার সাথে তার যুদ্ধের সময় একাধিক অনুষ্ঠানে একাধিক হুমকি অভিনেতা দ্বারা, সঙ্গে স্যান্ডওয়ার্ম গ্রুপ আক্রমণকারীর প্রাথমিক সাইবারট্যাক ইউনিট হিসাবে কাজ করছে।
কিন্তু যুদ্ধের সময় বেশিরভাগ আক্রমণ অভিযানের বিপরীতে, হুমকি ল্যাব টিম এই প্রচেষ্টাটিকে কোনও পরিচিত হুমকি গোষ্ঠীর সাথে সংযুক্ত করতে পারেনি, যা নির্দেশ করতে পারে যে এটি একটি নতুন গ্রুপের কাজ বা পরিচিত হুমকির সম্পূর্ণ আপগ্রেড করা টুল সেটের প্রতিনিধি। অভিনেতা
কোয়ালিস থ্রেট রিসার্চ ইউনিটের সিকিউরিটি রিসার্চের ম্যানেজার ময়ুরেশ দানি, ভৌগোলিকভাবে ভিন্ন উৎসের ব্যবহার উল্লেখ করেছেন যে হুমকি অভিনেতাদের অ্যাট্রিবিউশন দূর করতে সাহায্য করার জন্য নিরাপত্তা দলগুলিকে ভৌগলিক অবস্থানের উপর ভিত্তি করে লক্ষ্যযুক্ত সুরক্ষা প্রদান করা কঠিন করে তোলে।
"নমুনাটি ইউক্রেন থেকে আপলোড করা হয়েছিল, দ্বিতীয় পর্যায়টি হোস্ট করা হয়েছিল এবং একটি রাশিয়ান VPS প্রদানকারীর অধীনে নিবন্ধিত হয়েছিল, এবং কোবাল্ট বীকন [C2] ওয়ারশ, পোল্যান্ডে নিবন্ধিত হয়েছিল," তিনি ব্যাখ্যা করেছেন৷
তিনি বলেছেন যে আক্রমণের শৃঙ্খল সম্পর্কে তিনি সবচেয়ে আকর্ষণীয় যা খুঁজে পেয়েছেন তা হল প্রাথমিক সমঝোতাটি সুরক্ষিত সংকেত অ্যাপের মাধ্যমে সম্পন্ন হয়েছিল।
"দ্য সিগন্যাল মেসেঞ্জার মূলত নিরাপত্তা-কেন্দ্রিক কর্মীরা ব্যবহার করেছেন অথবা যারা গোপন তথ্য আদান-প্রদানে জড়িত, যেমন সাংবাদিক,” তিনি উল্লেখ করেন।
নিরাপত্তা সচেতনতা, প্যাচ ম্যানেজমেন্ট সহ সাইবার আর্মার বিফ আপ করুন
ভাইটজম্যান বলেছেন যে যেহেতু বেশিরভাগ সাইবার আক্রমণ ইমেল বা বার্তাগুলির মাধ্যমে ফিশিং বা লিঙ্ক-প্রলোভন দিয়ে শুরু হয়, বৃহত্তর কর্মচারী সাইবার সচেতনতা এই ধরনের আক্রমণের প্রচেষ্টা প্রশমিত করতে গুরুত্বপূর্ণ ভূমিকা পালন করে।
এবং নিরাপত্তা দলগুলির জন্য, "আমরা নেটওয়ার্কে প্রদত্ত আইওসিগুলির জন্য স্ক্যান করার পাশাপাশি অফিসটি সর্বশেষ সংস্করণে প্যাচ করা হয়েছে তা নিশ্চিত করার পরামর্শ দিই," ভাইটজম্যান বলেছেন।
ক্রিটিক্যাল স্টার্টের সাইবার হুমকি গবেষণার সিনিয়র ম্যানেজার ক্যালি গুয়েন্থার বলেছেন যে প্রতিরক্ষা দৃষ্টিকোণ থেকে, পুরোনো শোষণের উপর নির্ভরতাও শক্তিশালী প্যাচ ম্যানেজমেন্ট সিস্টেমের গুরুত্বের উপর জোর দেয়।
"অতিরিক্ত, আক্রমণের পরিশীলিততা উন্নত সনাক্তকরণ প্রক্রিয়াগুলির প্রয়োজনীয়তার উপর জোর দেয় যা অতিক্রম করে স্বাক্ষর-ভিত্তিক সাইবার-প্রতিরক্ষা পদ্ধতি"তিনি বলেছেন, "পরিবর্তিত দূষিত সফ্টওয়্যার সনাক্ত করতে আচরণ এবং অসঙ্গতি সনাক্তকরণ অন্তর্ভুক্ত করা।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
