CurKeep ব্যাকডোর
CurKeep Backdoor নামে পরিচিত কাস্টম ম্যালওয়্যার হুমকিকে 'স্টেইইন' অ্যালাইভ' নামে একটি সম্প্রতি উন্মোচিত সাইবারট্যাক প্রচারে একটি মূল উপাদান হিসেবে চিহ্নিত করা হয়েছে। এই চলমান প্রচারণা, যা 2021 সালে শুরু হয়েছিল, বিশেষভাবে এশিয়ার বিভিন্ন দেশে সরকারি সংস্থা এবং টেলিযোগাযোগ পরিষেবা প্রদানকারীদের উপর দৃষ্টি নিবদ্ধ করা হয়েছে। এই প্রচারণার পিছনে আক্রমণকারীরা সনাক্তকরণ এড়াতে বিভিন্ন ধরণের 'ডিসপোজেবল' ম্যালওয়্যার নিয়োগ করে।
নিরাপত্তা গবেষকরা দেখেছেন যে অভিযানের লক্ষ্যবস্তুর একটি উল্লেখযোগ্য অংশ কাজাখস্তান, উজবেকিস্তান, পাকিস্তান এবং ভিয়েতনামের মতো দেশে অবস্থিত। 'স্টেইইন' অ্যালাইভ' প্রচারাভিযান এখনও সক্রিয় এবং হুমকি হয়ে চলেছে।
এই প্রচারাভিযানের সাথে যুক্ত সাইবার আক্রমণের জন্য দায়ী করা হয় 'টডিক্যাট' নামে উল্লেখ করা চীনা গুপ্তচরবৃত্তি গ্রুপকে। এই গোষ্ঠীটি বর্শা-ফিশিং বার্তা ব্যবহার করে যা হুমকিমূলক সংযুক্তি বহন করে, যা বিভিন্ন ম্যালওয়্যার লোডার এবং ব্যাকডোর সরবরাহ করতে ব্যবহৃত হয়।
কারকিপ ব্যাকডোর স্পিয়ার-ফিশিং কৌশলের মাধ্যমে স্থাপন করা হয়
গবেষকরা হুমকি অভিনেতাদের দ্বারা নিয়োজিত কাস্টম সরঞ্জামগুলির একটি বিস্তৃত অ্যারে চিহ্নিত করেছেন, যা তারা বিশ্বাস করে যে সনাক্তকরণকে ব্যর্থ করতে এবং বিভিন্ন আক্রমণের সংযোগ রোধ করার জন্য ডিসপোজেবল করার জন্য ডিজাইন করা হয়েছে।
আক্রমণটি একটি বর্শা-ফিশিং ইমেল দিয়ে শুরু হয়, সতর্কতার সাথে সমালোচনামূলক সংস্থার মধ্যে নির্দিষ্ট ব্যক্তিদের লক্ষ্য করার জন্য তৈরি করা হয়, তাদের একটি সংযুক্ত জিপ ফাইল খুলতে অনুরোধ করে। সংরক্ষণাগারের মধ্যে, একটি ডিজিটাল স্বাক্ষরিত এক্সিকিউটেবল রয়েছে, ইমেলের প্রসঙ্গের সাথে সারিবদ্ধ করার জন্য সাবধানে নাম দেওয়া হয়েছে। এটিতে একটি দূষিত ডিএলএলও রয়েছে যা অডিনেটের দান্তে ডিসকভারি সফ্টওয়্যারে একটি দুর্বলতা (CVE-2022-23748) কাজে লাগায়, যার ফলে আপোসকৃত সিস্টেমে CurKeep ম্যালওয়্যার সাইড-লোড করার সুবিধা হয়৷
CurKeep, একটি হালকা ওজনের 10kb ব্যাকডোর, লঙ্ঘিত ডিভাইসে অধ্যবসায় প্রতিষ্ঠার জন্য দায়ী। এটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে সিস্টেম তথ্য পাঠায় এবং তারপরে পরবর্তী নির্দেশাবলীর জন্য অপেক্ষা করে। এই ব্যাকডোরটিতে ভিকটিমদের প্রোগ্রাম ফাইল থেকে একটি ডিরেক্টরি তালিকা বের করে দেওয়ার ক্ষমতা রয়েছে, যা কম্পিউটারে ইনস্টল করা সফ্টওয়্যারটির অন্তর্দৃষ্টি প্রদান করে। এটি কমান্ড নির্বাহ করতে পারে এবং C2 সার্ভারে আউটপুট রিলে করতে পারে, সেইসাথে এর অপারেটরদের নির্দেশ অনুসারে ফাইল-ভিত্তিক কাজগুলি সম্পাদন করতে পারে।
CurKeep ছাড়াও, প্রচারাভিযানে অন্যান্য সরঞ্জাম ব্যবহার করে, প্রাথমিকভাবে লোডার, অনুরূপ DLL সাইড-লোডিং পদ্ধতির মাধ্যমে কার্যকর করা হয়। তাদের মধ্যে উল্লেখযোগ্য হল CurLu লোডার, CurCore, এবং CurLog লোডার, প্রতিটি অনন্য কার্যকারিতা এবং সংক্রমণ প্রক্রিয়া দিয়ে সজ্জিত।
'স্টেইইন' অ্যালাইভ' সাইবার ক্রাইম অপারেশন নির্দিষ্ট লক্ষ্যমাত্রা অনুযায়ী তৈরি করা হয়েছে
'স্টেইইন' অ্যালাইভ' এই লোডার এবং পেলোডগুলির স্বতন্ত্র নমুনা এবং সংস্করণগুলির একটি পরিসর নিয়োগ করে, ভাষা, ফাইলের নাম এবং বিষয়ভিত্তিক উপাদান সহ নির্দিষ্ট আঞ্চলিক লক্ষ্যগুলির জন্য প্রায়শই কাস্টমাইজ করা হয়। সাইবার নিরাপত্তা বিশেষজ্ঞরা বিশ্বাস করেন যে সম্প্রতি উন্মোচিত ক্লাস্টারটি সম্ভবত একটি বৃহত্তর প্রচারণার একটি অংশ যা অতিরিক্ত অপ্রকাশিত সরঞ্জাম এবং আক্রমণের কৌশলগুলিকে অন্তর্ভুক্ত করে।
এই আক্রমণগুলিতে ব্যবহৃত অনন্য সরঞ্জামগুলির বিস্তৃত ভাণ্ডার এবং তাদের উচ্চ মাত্রার কাস্টমাইজেশনের উপর ভিত্তি করে, এটি স্পষ্ট যে সেগুলি সহজেই বাতিল করার জন্য ডিজাইন করা হয়েছে। এই সরঞ্জামগুলির কোডের মধ্যে পার্থক্য থাকা সত্ত্বেও, তারা সকলেই একই অবকাঠামোর সাথে সংযোগ স্থাপন করে, যা পূর্বে টডিক্যাটের সাথে যুক্ত ছিল, একটি চীনা সাইবার গুপ্তচরবৃত্তি গ্রুপ।
