MgBot ব্যাকডোর

একটি অত্যাধুনিক, চীন-সংযুক্ত অ্যাডভান্সড পারসিস্ট্যান্ট থ্রেট (APT) অপারেশন দীর্ঘমেয়াদী সাইবার গুপ্তচরবৃত্তি অভিযানের জন্য দায়ী করা হয়েছে যা MgBot ব্যাকডোর সরবরাহ করার জন্য ডোমেন নেম সিস্টেম (DNS) অবকাঠামোর অপব্যবহার করেছিল। এই অভিযানটি তুরস্ক, চীন এবং ভারতের সাবধানে নির্বাচিত ভুক্তভোগীদের উপর দৃষ্টি নিবদ্ধ করে এবং নভেম্বর ২০২২ থেকে নভেম্বর ২০২৪ পর্যন্ত সক্রিয় ছিল।

অভিযানের পিছনের প্রতিপক্ষ

এই কার্যকলাপটি ইভাসিভ পান্ডা নামে পরিচিত হুমকি অভিনেতার সাথে যুক্ত, যা ব্রোঞ্জ হাইল্যান্ড, ড্যাগারফ্লাই এবং স্টর্মব্যাম্বু নামেও পরিচিত। এই গোষ্ঠীটি কমপক্ষে ২০১২ সাল থেকে সক্রিয় বলে মূল্যায়ন করা হয়েছে এবং বিস্তৃত, সুবিধাবাদী আক্রমণের পরিবর্তে অত্যন্ত লক্ষ্যবস্তু অনুপ্রবেশের জন্য পরিচিত।

মূল কৌশল হিসেবে মধ্যবর্তী প্রতিপক্ষ

এই প্রচারণার মূলে ছিল প্রতিপক্ষ-ইন-দ্য-মিডল (AitM) কৌশল ব্যবহার। আক্রমণকারীরা DNS প্রতিক্রিয়াগুলিকে এমনভাবে কাজে লাগাত যাতে ক্ষতিগ্রস্তদের নীরবে তাদের নিয়ন্ত্রণাধীন অবকাঠামোতে পুনঃনির্দেশিত করা হত। ম্যালওয়্যার লোডারগুলিকে নির্দিষ্ট ফাইল অবস্থানে স্থাপন করা হত, যখন এনক্রিপ্ট করা উপাদানগুলি আক্রমণকারী-নিয়ন্ত্রিত সার্ভারগুলিতে হোস্ট করা হত এবং শুধুমাত্র বৈধ ওয়েবসাইটগুলির সাথে সম্পর্কিত নির্দিষ্ট DNS প্রশ্নের উত্তরে সরবরাহ করা হত।

ডিএনএস বিষক্রিয়ার অপব্যবহারের একটি ধরণ

এই প্রচারণা কোনও বিচ্ছিন্ন ঘটনা নয়। ইভাসিভ পান্ডা বারবার ডিএনএস বিষক্রিয়ায় দক্ষতা প্রদর্শন করেছে। এর আগে ২০২৩ সালের এপ্রিলে একই ধরণের কৌশল তুলে ধরা হয়েছিল, যখন গ্রুপটি সম্ভবত সরবরাহ শৃঙ্খল আপস অথবা AitM আক্রমণ ব্যবহার করে টেনসেন্ট QQ-এর মতো বিশ্বস্ত সফ্টওয়্যারের ট্রোজানাইজড সংস্করণগুলি চীনের মূল ভূখণ্ডে একটি আন্তর্জাতিক এনজিওর বিরুদ্ধে বিতরণ করেছিল।

২০২৪ সালের আগস্টে, আরও প্রতিবেদনে জানা যায় যে গ্রুপটি একটি নামহীন ইন্টারনেট পরিষেবা প্রদানকারী (ISP) এর সাথে আপস করেছে, নির্বাচিত লক্ষ্যবস্তুতে ক্ষতিকারক সফ্টওয়্যার আপডেট বিতরণের জন্য বিষাক্ত DNS প্রতিক্রিয়ার অপব্যবহার করেছে।

চীন-সংযুক্ত AitM অভিনেতাদের একটি বিস্তৃত বাস্তুতন্ত্র

ইভাসিভ পান্ডা হলো চীন-সংযুক্ত হুমকি গোষ্ঠীর একটি বৃহত্তর অংশ যারা নেটওয়ার্কের মধ্যে ম্যালওয়্যার সরবরাহ এবং চলাচলের জন্য AitM-ভিত্তিক বিষক্রিয়ার উপর নির্ভর করে। বিশ্লেষকরা একই ধরণের পদ্ধতি ব্যবহার করে কমপক্ষে দশটি সক্রিয় গোষ্ঠী চিহ্নিত করেছেন, যা জোর দিয়ে বলেছে যে DNS ম্যানিপুলেশন এই বাস্তুতন্ত্রের মধ্যে একটি জনপ্রিয় কৌশল হয়ে উঠেছে।

অস্ত্রযুক্ত সফ্টওয়্যার আপডেটগুলি প্রলোভন হিসেবে

নথিভুক্ত অনুপ্রবেশের ক্ষেত্রে, ভুক্তভোগীদের বৈধ তৃতীয় পক্ষের সফ্টওয়্যারের ছদ্মবেশে ভুয়া আপডেট দিয়ে প্রলুব্ধ করা হয়েছিল। একজন বিশিষ্ট ব্যক্তি চীনা প্রযুক্তি কোম্পানি সোহুর একটি ভিডিও স্ট্রিমিং অ্যাপ্লিকেশন সোহুভিএ-এর জন্য আপডেটের ছদ্মবেশ ধারণ করেছিলেন। আপডেটটি বৈধ ডোমেন p2p.hd.sohu.com[.]cn থেকে এসেছে বলে মনে হচ্ছে, যা দৃঢ়ভাবে ইঙ্গিত করে যে অ্যাপ্লিকেশনটি appdata\roaming\shapp\7.0.18.0\package-এর অধীনে তার স্ট্যান্ডার্ড ডিরেক্টরিতে বাইনারি আপডেট করার চেষ্টা করার সময় ট্র্যাফিককে একটি ক্ষতিকারক সার্ভারে পুনঃনির্দেশিত করার জন্য DNS বিষক্রিয়া ব্যবহার করা হয়েছিল।

গবেষকরা Baidu-এর iQIYI ভিডিও, IObit স্মার্ট ডিফ্র্যাগ এবং Tencent QQ-এর জন্য ভুয়া আপডেটারদের অপব্যবহার করে সমান্তরাল প্রচারণাও লক্ষ্য করেছেন।

বিশ্বস্ত ডোমেনের মাধ্যমে মাল্টি-স্টেজ পেলোড ডেলিভারি

জাল আপডেটের সফল বাস্তবায়নের ফলে একটি প্রাথমিক লোডার স্থাপন করা হয়েছিল যা শেলকোড চালু করেছিল। এই শেলকোডটি একটি এনক্রিপ্ট করা দ্বিতীয়-পর্যায়ের পেলোড উদ্ধার করেছে যা একটি PNG চিত্রের ছদ্মবেশে ছিল, আবার DNS বিষক্রিয়ার মাধ্যমে, এবার বৈধ ডোমেন dictionary.com-এর অপব্যবহার করে।

আক্রমণকারীরা DNS রেজোলিউশনে হেরফের করে যাতে dictionary.com আক্রমণকারী-নিয়ন্ত্রিত IP ঠিকানাগুলিতে চলে যায়, যা শিকারের ভৌগোলিক অবস্থান এবং ISP দ্বারা নির্বাচিতভাবে নির্ধারিত হয়। এই পেলোডটি আনতে ব্যবহৃত HTTP অনুরোধে শিকারের উইন্ডোজ সংস্করণ অন্তর্ভুক্ত ছিল, যা সম্ভবত আক্রমণকারীদের নির্দিষ্ট অপারেটিং সিস্টেম বিল্ড অনুসারে ফলো-অন অ্যাকশনগুলি তৈরি করতে সক্ষম করে। এই নির্বাচনী লক্ষ্যবস্তুটি গ্রুপের পূর্বে ওয়াটারিং হোল আক্রমণের ব্যবহারের প্রতিধ্বনি করে, যার মধ্যে MACMA নামে পরিচিত macOS ম্যালওয়্যার বিতরণ অন্তর্ভুক্ত ছিল।

ডিএনএস বিষক্রিয়া কীভাবে সম্ভব হয়েছে

যদিও ডিএনএস প্রতিক্রিয়াগুলিকে বিষ প্রয়োগের জন্য ব্যবহৃত সঠিক পদ্ধতিটি এখনও নিশ্চিত নয়, তদন্তকারীরা দুটি প্রাথমিক সম্ভাবনার সন্দেহ করছেন:

• ভুক্তভোগী আইএসপিগুলির নির্বাচনী আপস, সম্ভাব্যভাবে ডিএনএস ট্র্যাফিক নিয়ন্ত্রণের জন্য এজ ডিভাইসগুলিতে নেটওয়ার্ক ইমপ্লান্ট জড়িত।
• স্থানীয়ভাবে DNS প্রতিক্রিয়া পরিবর্তন করার জন্য ভিকটিম পরিবেশের মধ্যে রাউটার বা ফায়ারওয়ালের সরাসরি আপস করা।

অত্যাধুনিক লোডার চেইন এবং কাস্টম এনক্রিপশন

দ্বিতীয় পর্যায়ের ম্যালওয়্যার সরবরাহ প্রক্রিয়াটি ইচ্ছাকৃতভাবে জটিল। প্রাথমিক শেলকোডটি একটি শিকার-নির্দিষ্ট পেলোড ডিক্রিপ্ট করে এবং কার্যকর করে, এমন একটি পদ্ধতি যা প্রতিটি লক্ষ্যের জন্য একটি অনন্য এনক্রিপ্ট করা ফাইল তৈরি করে সনাক্তকরণ হ্রাস করে বলে বিশ্বাস করা হয়।

libpython2.4.dll নামে ছদ্মবেশে একটি সেকেন্ডারি লোডার, একটি পুনঃনামকরণ করা, পুরানো python.exe সাইডলোডিংয়ের উপর নির্ভর করে। একবার কার্যকর করা হলে, এটি C:\ProgramData\Microsoft\eHome\perf.dat থেকে পড়ে পরবর্তী পর্যায়ের পেলোডটি পুনরুদ্ধার করে এবং ডিক্রিপ্ট করে। এই ফাইলটিতে ম্যালওয়্যার রয়েছে যা প্রথমে XOR-এনক্রিপ্ট করা হয়েছিল, তারপর ডিক্রিপ্ট করা হয়েছিল এবং অবশেষে মাইক্রোসফ্টের ডেটা প্রোটেকশন API (DPAPI) এবং RC5 অ্যালগরিদমের একটি কাস্টম হাইব্রিড ব্যবহার করে পুনরায় এনক্রিপ্ট করা হয়েছিল। এই নকশাটি নিশ্চিত করে যে পেলোডটি কেবলমাত্র মূল ভিকটিম সিস্টেমেই ডিক্রিপ্ট করা যেতে পারে, যা ইন্টারসেপশন এবং অফলাইন বিশ্লেষণকে উল্লেখযোগ্যভাবে জটিল করে তোলে।

এমজিবট: একটি গোপন এবং সক্ষম ইমপ্লান্ট

ডিক্রিপশনের পর, পেলোডটি একটি বৈধ svchost.exe প্রক্রিয়ায় প্রবেশ করানো হয়, যা নিজেকে MgBot ব্যাকডোরের একটি রূপ হিসেবে প্রকাশ করে। এই মডুলার ইমপ্লান্টটি বিভিন্ন ধরণের গুপ্তচরবৃত্তির কার্যকারিতা সমর্থন করে, যার মধ্যে রয়েছে:

• ফাইল সংগ্রহ এবং অপসারণ
• কীস্ট্রোক লগিং এবং ক্লিপবোর্ড সংগ্রহ
• অডিও রেকর্ডিং
• ব্রাউজারে সংরক্ষিত শংসাপত্র চুরি

এই ক্ষমতাগুলি আক্রমণকারীদের দীর্ঘমেয়াদী, গোপনে ক্ষতিগ্রস্ত সিস্টেমে অ্যাক্সেস বজায় রাখতে সক্ষম করে।

একটি ক্রমবর্ধমান এবং স্থায়ী হুমকি

এই অভিযানটি ইভাসিভ পান্ডার অব্যাহত বিবর্তন এবং প্রযুক্তিগত পরিশীলিততা তুলে ধরে। ডিএনএস পয়জনিং, বিশ্বস্ত-ব্র্যান্ড ছদ্মবেশ, বহু-স্তরযুক্ত লোডার এবং সিস্টেম-বাউন্ড এনক্রিপশন একত্রিত করে, গ্রুপটি উচ্চ-মূল্যের লক্ষ্যবস্তুতে অবিরাম অ্যাক্সেস বজায় রেখে প্রতিরক্ষা এড়াতে একটি স্পষ্ট ক্ষমতা প্রদর্শন করে। এই অভিযানটি সংবেদনশীল পরিবেশে শক্তিশালী ডিএনএস সুরক্ষা, সরবরাহ শৃঙ্খল বৈধতা এবং আপডেট প্রক্রিয়া পর্যবেক্ষণের প্রয়োজনীয়তাকে আরও জোরদার করে।