BRICKSTORM ব্যাকডোর

একটি সন্দেহভাজন চীন-সমর্থিত সাইবার গুপ্তচরবৃত্তি গোষ্ঠী মার্কিন আইনি পরিষেবা, সফটওয়্যার-অ্যাজ-এ-সার্ভিস (SaaS), বিজনেস প্রসেস আউটসোর্সিং (BPO) এবং প্রযুক্তি খাতের কোম্পানিগুলিকে লক্ষ্যবস্তু করে আসছে। উদ্দেশ্য: BRICKSTORM নামে পরিচিত একটি অত্যন্ত সক্ষম ব্যাকডোর সরবরাহ করা।

UNC5221 এবং ঘনিষ্ঠভাবে সম্পর্কিত হুমকি ক্লাস্টারগুলির সাথে সম্পর্কিত, এই অনুপ্রবেশের লক্ষ্য এক বছরেরও বেশি সময় ধরে ভিকটিম নেটওয়ার্কগুলিতে অবিচ্ছিন্ন অ্যাক্সেস বজায় রাখা, প্রায়শই SaaS সরবরাহকারীদের লক্ষ্য করে ডাউনস্ট্রিম গ্রাহক পরিবেশ বা তাদের পক্ষে হোস্ট করা ডেটাতে পৌঁছানো। আইনি এবং প্রযুক্তি খাতে, আক্রমণগুলি বৌদ্ধিক সম্পত্তি, জাতীয় নিরাপত্তা সম্পর্কিত গোয়েন্দা তথ্য এবং আন্তর্জাতিক বাণিজ্যের সাথে সম্পর্কিত তথ্য চুরি দ্বারা অনুপ্রাণিত বলে মনে হয়।

ব্রিকস্টর্ম: গোপনে থাকা পিছনের দরজা

গত বছর প্রথম দেখা যায়, BRICKSTORM-কে Ivanti Connect Secure zero-day vulnerabilities (CVE-2023-46805 এবং CVE-2024-21887) ব্যবহারের সাথে যুক্ত করা হয়েছে। এটি কমপক্ষে নভেম্বর ২০২২ সাল থেকে ইউরোপীয় উইন্ডোজ পরিবেশেও সক্রিয় রয়েছে।

Go ভাষায় লেখা BRICKSTORM-এ নিম্নলিখিত ক্ষমতা রয়েছে:

• ওয়েব সার্ভার হিসেবে কাজ করুন।
• ফাইল সিস্টেম এবং ডিরেক্টরিগুলি পরিচালনা করুন।
• ফাইল আপলোড/ডাউনলোড করুন এবং শেল কমান্ড কার্যকর করুন।
• একটি SOCKS প্রক্সি হিসেবে কাজ করুন।
• WebSockets এর মাধ্যমে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করুন।

এই ম্যালওয়্যারটি সনাক্তকরণ এড়াতে ডিজাইন করা হয়েছে, বিশেষ করে ঐতিহ্যবাহী এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) কভারেজ ছাড়া যন্ত্রপাতিগুলিতে। এর গোপন স্থাপত্য আক্রমণকারীদের গড়ে 393 দিন ধরে অচেনা থাকতে সক্ষম করে।

গোপনতা এবং অধ্যবসায়ের জন্য উন্নত কৌশল

হুমকিদাতারা পার্শ্বীয় নড়াচড়া এবং অধ্যবসায়ের জন্য অত্যন্ত পরিশীলিত কৌশল ব্যবহার করে:

শোষণ এবং প্রাথমিক অ্যাক্সেস : কমপক্ষে একটি আক্রমণ ইভান্টি কানেক্ট সিকিউর এজ ডিভাইসের দুর্বলতাগুলিকে কাজে লাগিয়ে BRICKSTORM স্থাপন করেছে। লিনাক্স এবং BSD-ভিত্তিক যন্ত্রপাতিগুলিতে অন্যান্য স্থাপনাগুলি সনাক্ত করা কঠিন কারণ অ্যাক্টররা কার্যকলাপের চিহ্নগুলি সাবধানে মুছে ফেলেছে।

অ্যাজাইল ম্যালওয়্যার ডেভেলপমেন্ট : কিছু BRICKSTORM নমুনায় একটি "বিলম্বিত" টাইমার রয়েছে যা C2 সার্ভারের সাথে যোগাযোগ মাসের পর মাস স্থগিত রাখে। একটি ক্ষেত্রে, ম্যালওয়্যারটি একটি VMware vCenter সার্ভারে স্থাপন করা হয়েছিল ঘটনার প্রতিক্রিয়া শুরু হওয়ার পরে, যা কার্যক্ষম তত্পরতা প্রদর্শন করে।

BRICKSTEAL এর মাধ্যমে বিশেষাধিকার বৃদ্ধি : vCenter শংসাপত্র ক্যাপচার করার জন্য Apache Tomcat-এ একটি ক্ষতিকারক Java Servlet ফিল্টার ব্যবহার করা হয়েছিল। এরপর আক্রমণকারীরা ডোমেন কন্ট্রোলার, SSO পরিচয় প্রদানকারী এবং গোপন ভল্টের মতো গুরুত্বপূর্ণ সিস্টেমের জন্য Windows Server VM ক্লোন করে।

মেমোরির মধ্যে পরিবর্তন : একটি কাস্টম ড্রপার ব্যবহার করে, আক্রমণকারীরা অ্যাপ্লিকেশন পুনঃসূচনা এবং সনাক্তকরণ এড়িয়ে মেমোরিতে সম্পূর্ণরূপে কনফিগারেশন পরিবর্তন প্রয়োগ করে।

স্থায়িত্ব পদ্ধতি : init.d, rc.local, অথবা systemd ফাইলগুলিতে পরিবর্তন, SLAYSTYLE (যা BEEFLUSH নামেও পরিচিত) এর মতো JSP ওয়েব শেল স্থাপনের সাথে, নিশ্চিত করে যে BRICKSTORM অ্যাপ্লায়েন্স রিবুট করার সময় স্বয়ংক্রিয়ভাবে পুনরায় চালু হয় এবং নির্বিচারে OS কমান্ড কার্যকর করে।

কৌশলগত উদ্দেশ্য এবং প্রভাব

এই প্রচারণার প্রাথমিক লক্ষ্য হল লক্ষ্যবস্তুতে ডেটা এক্সফিল্ট্রেশন, যা ডেভেলপার, সিস্টেম অ্যাডমিনিস্ট্রেটর এবং চীনের অর্থনৈতিক ও গুপ্তচরবৃত্তির স্বার্থের সাথে সম্পর্কিত সংবেদনশীল ক্ষেত্রগুলিতে জড়িত কর্মীদের ইমেল এবং অ্যাকাউন্টের উপর দৃষ্টি নিবদ্ধ করে। SOCKS প্রক্সি ক্ষমতা ব্যবহার করে, আক্রমণকারীরা আগ্রহের অ্যাপ্লিকেশনগুলিতে সুড়ঙ্গ করতে পারে এবং ডাউনস্ট্রিম SaaS গ্রাহকদের দিকে পিভট করতে পারে অথবা ভবিষ্যতের প্রচারণার জন্য শূন্য-দিনের দুর্বলতা সনাক্ত করতে পারে।

BRICKSTORM প্রচারণা একটি অত্যন্ত পরিশীলিত হুমকির প্রতিনিধিত্ব করে, যা উন্নত এন্টারপ্রাইজ প্রতিরক্ষাকে এড়িয়ে যেতে এবং উচ্চ-মূল্যবান লক্ষ্যবস্তুতে মনোনিবেশ করতে সক্ষম।