EdgeStepper Backdoor

প্লাশডেমন নামে পরিচিত চীন-সমর্থিত হুমকির একটি অভিনেতাকে নতুন আবিষ্কৃত Go-ভিত্তিক নেটওয়ার্ক ব্যাকডোর EdgeStepper-এর সাথে যুক্ত করা হয়েছে, যা প্রতিপক্ষ-ইন-দ্য-মিডল (AitM) অপারেশনগুলিকে সমর্থন করার জন্য তৈরি একটি টুল। DNS স্তরে নেটওয়ার্ক ট্র্যাফিককে ম্যানিপুলেট করে, এই গোষ্ঠীটি একাধিক অঞ্চলে লক্ষ্যবস্তু অনুপ্রবেশ অভিযানের জন্য ডেটা প্রবাহকে বাধা দেওয়ার এবং পুনঃনির্দেশিত করার ক্ষমতা প্রসারিত করেছে।

এজস্টেপার: ট্র্যাফিককে ক্ষতিকারক অবকাঠামোতে পুনঃনির্দেশিত করা

এজস্টেপার একটি নেটওয়ার্ক-স্তরের হাইজ্যাকিং প্রক্রিয়া হিসেবে কাজ করে। একবার স্থাপন করা হলে, এটি প্রতিটি DNS অনুরোধকে একটি বহিরাগত ক্ষতিকারক নোডে পুনঃরুট করে। এই ম্যানিপুলেশন বৈধ সফ্টওয়্যার-আপডেট অবকাঠামোর জন্য উদ্দিষ্ট ট্র্যাফিককে ডাইভার্ট করে এবং পরিবর্তে আক্রমণকারীর নিয়ন্ত্রণাধীন সিস্টেমে ফরোয়ার্ড করে।

অভ্যন্তরীণভাবে, টুলটি দুটি প্রাথমিক মডিউলের মাধ্যমে কাজ করে। ডিস্ট্রিবিউটর ক্ষতিকারক DNS নোডের ঠিকানা (যেমন, test.dsc.wcsset.com) সমাধান করে, অন্যদিকে রুলার পুনঃনির্দেশনা জোরদার করার জন্য iptables এর মাধ্যমে প্যাকেট-ফিল্টারিং নিয়ম কনফিগার করে। কিছু ক্ষেত্রে, DNS নোড এবং হাইজ্যাকিং নোড একই, যার ফলে DNS পরিষেবা স্পুফিং প্রক্রিয়ার সময় তার নিজস্ব IP ঠিকানা ফেরত পাঠায়।

দীর্ঘমেয়াদী কার্যক্রম এবং বিশ্বব্যাপী লক্ষ্য নির্ধারণ

কমপক্ষে ২০১৮ সাল থেকে সক্রিয়, PlushDaemon মার্কিন যুক্তরাষ্ট্র, নিউজিল্যান্ড, কম্বোডিয়া, হংকং, তাইওয়ান, দক্ষিণ কোরিয়া এবং মূল ভূখণ্ড চীন জুড়ে সংস্থাগুলিতে মনোনিবেশ করেছে। দক্ষিণ কোরিয়ার VPN সরবরাহকারী IPany-এর সাথে জড়িত একটি সরবরাহ শৃঙ্খল সমঝোতার তদন্তের সময় ২০২৫ সালের জানুয়ারিতে এর কার্যক্রম প্রথম আনুষ্ঠানিকভাবে রিপোর্ট করা হয়েছিল। সেই ঘটনাটি প্রকাশ করে যে আক্রমণকারীরা কীভাবে একটি সেমিকন্ডাক্টর ফার্ম এবং একটি অজ্ঞাত সফ্টওয়্যার ডেভেলপমেন্ট কোম্পানি উভয়ের বিরুদ্ধে মাল্টিফাংশনাল ইমপ্লান্ট SlowStepper ব্যবহার করেছিল।

পরবর্তী গবেষণায় শনাক্ত হওয়া আরও শিকারদের মধ্যে রয়েছে বেইজিংয়ের একটি বিশ্ববিদ্যালয়, তাইওয়ানের একটি ইলেকট্রনিক্স প্রস্তুতকারক, একটি মোটরগাড়ি কোম্পানি এবং একটি জাপানি উৎপাদনকারী প্রতিষ্ঠানের একটি আঞ্চলিক শাখা। বিশ্লেষকরা ২০২৫ সালে কম্বোডিয়ায় আরও কার্যকলাপ রেকর্ড করেছেন, যেখানে আরও দুটি সংস্থা, একটি মোটরগাড়ি খাতে এবং অন্যটি একটি জাপানি প্রস্তুতকারকের সাথে যুক্ত, স্লোস্টেপারের মাধ্যমে লক্ষ্যবস্তুতে পরিণত হয়েছিল।

AitM পয়জনিং: PlushDaemon-এর প্রাথমিক প্রবেশ কৌশল

এই গ্রুপটি প্রাথমিক অনুপ্রবেশ কৌশল হিসেবে AitM পয়জনিং-এর উপর ব্যাপকভাবে নির্ভর করে, যা চীন-অনুমোদিত অন্যান্য APT ক্লাস্টার যেমন LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood এবং FontGoblin-এর মধ্যে ক্রমবর্ধমানভাবে ছড়িয়ে পড়ছে। PlushDaemon একটি প্রান্তিক নেটওয়ার্ক ডিভাইসের মাধ্যমে তার আক্রমণ শৃঙ্খল শুরু করে যার মাধ্যমে ভুক্তভোগী সংযোগ স্থাপন করতে পারে। এই আপস সাধারণত অপ্রকাশিত দুর্বলতা বা দুর্বল প্রমাণীকরণ থেকে উদ্ভূত হয়।

ডিভাইসটি নিয়ন্ত্রণে আসার পর, DNS ট্র্যাফিক নিয়ন্ত্রণের জন্য EdgeStepper ইনস্টল করা হয়। ক্ষতিকারক DNS নোড আগত অনুরোধগুলি মূল্যায়ন করে এবং সফ্টওয়্যার আপডেটের সাথে সম্পর্কিত ডোমেনগুলি সনাক্ত করার সময়, হাইজ্যাকিং নোডের IP ঠিকানা দিয়ে প্রতিক্রিয়া জানায়। এই সেটআপটি তাৎক্ষণিকভাবে সন্দেহ না করেই পেলোডগুলির ক্ষতিকারক বিতরণ সক্ষম করে।

হাইজ্যাক করা আপডেট চ্যানেল এবং স্থাপনার শৃঙ্খল

PlushDaemon-এর প্রচারণা বিশেষভাবে Sogou Pinyin সহ বেশ কয়েকটি চীনা অ্যাপ্লিকেশন দ্বারা ব্যবহৃত আপডেট প্রক্রিয়াগুলি পরীক্ষা করে, যা বৈধ আপডেট ট্র্যাফিক পুনঃনির্দেশিত করে। এই ম্যানিপুলেশনের মাধ্যমে, আক্রমণকারীরা LittleDaemon (popup_4.2.0.2246.dll) নামে একটি ক্ষতিকারক DLL বিতরণ করে, যা প্রথম পর্যায়ের ইমপ্লান্ট হিসাবে কাজ করে। যদি সিস্টেমটি ইতিমধ্যেই SlowStepper ব্যাকডোর হোস্ট না করে, তাহলে LittleDaemon আক্রমণকারী নোডের সাথে যোগাযোগ করে এবং DaemonicLogistics নামক একটি ডাউনলোডার পুনরুদ্ধার করে।

ডেমোনিকলজিস্টিক্সের ভূমিকা সহজ: স্লোস্টেপার ডাউনলোড এবং এক্সিকিউট করুন। একবার সক্রিয় হয়ে গেলে, স্লোস্টেপার বিভিন্ন ধরণের ক্ষমতা প্রদান করে যার মধ্যে রয়েছে সিস্টেমের বিবরণ সংগ্রহ করা, ফাইল অর্জন করা, ব্রাউজার শংসাপত্র বের করা, একাধিক মেসেজিং অ্যাপ্লিকেশন থেকে ডেটা সংগ্রহ করা এবং প্রয়োজনে নিজেকে সরিয়ে ফেলা।

সমন্বিত ইমপ্লান্টের মাধ্যমে বর্ধিত ক্ষমতা

এজস্টেপার, লিটলডেমন, ডেমোনিকলজিস্টিকস এবং স্লোস্টেপারের সম্মিলিত কার্যকারিতা প্লাশডেমনকে বিশ্বব্যাপী সংস্থাগুলিকে আপস করতে সক্ষম একটি বিস্তৃত সরঞ্জাম সেট দিয়ে সজ্জিত করে। তাদের সমন্বিত ব্যবহার গ্রুপটিকে স্থায়ী অ্যাক্সেস, ডেটা-চুরির ক্ষমতা এবং দীর্ঘমেয়াদী আন্তঃ-অঞ্চল ক্রিয়াকলাপের জন্য একটি নমনীয় অবকাঠামো দেয়।

মূল পর্যবেক্ষণ

PlushDaemon-এর কার্যক্রম বেশ কিছু সামঞ্জস্যপূর্ণ বিষয় প্রকাশ করে। প্রাথমিকভাবে অবস্থান দখলের জন্য গ্রুপটি তাদের পছন্দের পদ্ধতি হিসেবে মিডল পয়জনিং-এর উপর ব্যাপকভাবে নির্ভর করে, নেটওয়ার্ক প্রান্তে ট্র্যাফিককে আটকাতে এবং পুনঃনির্দেশিত করতে এটি ব্যবহার করে। একবার কোনও লক্ষ্যবস্তুতে আঘাতপ্রাপ্ত হলে, হুমকির কারিগর স্লোস্টেপারকে তার প্রধান পোস্ট-ইন্ট্রুশন ইমপ্লান্ট হিসেবে ব্যবহার করে, এর বিস্তৃত ডেটা-সংগ্রহ এবং সিস্টেম-রিকনেসেন্স বৈশিষ্ট্যগুলির সুবিধা গ্রহণ করে। এই কর্মপ্রবাহের কার্যকারিতা EdgeStepper-এর DNS প্রতিক্রিয়াগুলিকে পরিচালনা করার ক্ষমতা দ্বারা আরও শক্তিশালী হয়, যা আক্রমণকারীদের চুপচাপ বৈধ সফ্টওয়্যার আপডেট ট্র্যাফিককে তাদের নিজস্ব অবকাঠামোর দিকে ডাইভার্ট করতে দেয়।