সুরক্ষা সংস্থা জেনারেটর এআই ‘ভিশিং’ আক্রমণ সনাক্ত করে
থেকে একটি নতুন প্রতিবেদন অন্টিনিউএর সাইবার ডিফেন্স সেন্টার একটি জটিল, মাল্টি-স্টেজ সাইবার আক্রমণ চিহ্নিত করেছে যা সামাজিক প্রকৌশল, দূরবর্তী অ্যাক্সেস সরঞ্জামগুলি এবং একটি লক্ষ্য নেটওয়ার্কের মধ্যে অনুপ্রবেশ করতে এবং অব্যাহত রাখতে বাইনারিগুলিতে স্বাক্ষর করেছে।
প্রচারটি একটি ভিশিং (ভয়েস ফিশিং) প্রচেষ্টা দিয়ে শুরু হয়েছিল, যেখানে হুমকি অভিনেতা মাইক্রোসফ্ট টিমগুলির বহিরাগত বার্তাপ্রেরণ ক্ষমতাগুলি একটি দূষিত পাওয়ারশেল পে -লোড সরবরাহ করার জন্য ব্যবহার করেছিলেন। স্ক্রিপ্টটি চালানোর লক্ষ্যে সামাজিক ইঞ্জিনিয়ারিংয়ের পরে, অভিনেতা একটি লক্ষ্যযুক্ত মেশিনে দূরবর্তী অ্যাক্সেস পেতে মাইক্রোসফ্ট কুইক সহায়তা ব্যবহার করেছিলেন।
নেটওয়ার্কের ভিতরে একবার, আক্রমণকারী “টিভি.ডিল” নামে একটি দূষিত ডিএলএল-এর পাশাপাশি একটি স্বাক্ষরিত টিমভিউয়ার বাইনারি মোতায়েন করেছিল, যা দ্বিতীয়-পর্যায়ের ম্যালওয়্যার কার্যকর করার জন্য সাইডলড ছিল। স্বাক্ষরিত বাইনারিগুলির ব্যবহার হুমকি অভিনেতাকে অনেকগুলি শেষ পয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (ইডিআর) সমাধানগুলি এড়াতে দেয় যা এই জাতীয় ফাইলগুলিকে ডিফল্টরূপে বিশ্বাস করে।
দ্বিতীয় পর্যায়ে একটি জাভাস্ক্রিপ্ট-ভিত্তিক ব্যাকডোর (সূচক.জেএস) জড়িত একটি নামকরণ করা নোড.জেএস বাইনারি (এইচসিএমডি.এক্সই) এর মাধ্যমে কার্যকর করা হয়েছে। দূরবর্তী আক্রমণকারীদের সিস্টেম-স্তরের কমান্ড জারি করার অনুমতি দেওয়ার জন্য এই ব্যাকডোর সক্ষম কমান্ড-এবং-নিয়ন্ত্রণ ক্ষমতা সক্ষম করে সকেট.আইও ব্যবহার করে।
আক্রমণকারী একটি স্টার্টআপ শর্টকাট তৈরি করে অধ্যবসায় স্থাপন করে যা প্রতিবার সিস্টেমটি পুনরায় বুট করার সময় দূষিত টিমভিউয়ার ফাইল চালু করে। তারা 90 দিন পর্যন্ত চুপচাপ ডেটা এবং স্টেজ ম্যালওয়্যারকে সরানোর জন্য উইন্ডোজের ব্যাকগ্রাউন্ড ইন্টেলিজেন্ট ট্রান্সফার পরিষেবা (বিআইটি) ব্যবহার করেছে।
লুকিয়ে থাকার জন্য, আক্রমণকারী উন্নত ফাঁকি দেওয়ার কৌশলগুলি যেমন প্রক্রিয়া ফাঁকা, এপিআই হুকিং এবং ভার্চুয়াল মেশিনগুলির জন্য চেক বা ডিবাগিং সরঞ্জামগুলির জন্য ব্যবহার করে। মত ফাংশন Isdebuggerperesent এবং Isprocessorfeaturepresent ম্যালওয়্যারটি কোনও স্যান্ডবক্সে বা বিশ্লেষণের অধীনে চলছে কিনা তা সনাক্ত করতে ব্যবহৃত হয়েছিল।
আক্রমণকারী মেশিন এবং সুরক্ষা সফ্টওয়্যার সম্পর্কে বিশদ সংগ্রহ করতে উইন্ডোজ ম্যানেজমেন্ট ইনস্ট্রুমেন্টেশন (ডাব্লুএমআই) ব্যবহার করে সিস্টেম স্ক্যানগুলিও চালিয়েছিল। পার্শ্বীয় আন্দোলনের জন্য, তারা ব্যবহার করেছে psexec.exeএবং তারা ওয়েব ব্রাউজারগুলি থেকে সংরক্ষণ করা লগইন শংসাপত্রগুলি চুরি করেছে।
যদিও এটি স্পষ্ট নয় যে এই গোষ্ঠীটি দায়বদ্ধ, তবে অন্টিনিউ উল্লেখ করেছেন যে মাইক্রোসফ্টের পূর্বে নথিভুক্ত হুমকি অভিনেতা, স্টর্ম -1811 এর সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ কৌশলগুলি ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ। সোশ্যাল ইঞ্জিনিয়ারিং প্রচারে দ্রুত সহায়তা এবং মাইক্রোসফ্ট দলগুলিকে অপব্যবহারের জন্য পরিচিত, স্টর্ম -1811 র্যানসওয়্যার অপারেশন এবং অন্যান্য-শোষণ পরবর্তী পোস্ট টুলকিটগুলির সাথে যুক্ত হয়েছে।
ভিশিং কৌশলগুলির ব্যবহার দেখায় যে আক্রমণকারীরা কীভাবে আক্রমণগুলিতে তাদের জেনারেটর এআই সরঞ্জামগুলির ব্যবহার বাড়িয়ে তুলছে-এক্ষেত্রে এআই-উত্পাদিত ভয়েসগুলির ব্যবহার। এটিও প্রমাণ করে যে উদীয়মান সরঞ্জামগুলি কীভাবে বিকশিত হচ্ছে এবং আক্রমণগুলিতে জটিলতা নিয়ে আসছে। সিকিউরিটি ফার্ম ডার্কট্রেসের সিনিয়র ভাইস প্রেসিডেন্ট নিকোল কারিগানান অন্টিনিউয়ের নতুন প্রতিবেদনে মন্তব্য করে বলেছিলেন যে এন্টারপ্রাইজ অবশ্যই তার ডেটা এবং ব্যবহারকারীদের সুরক্ষিত রাখার জন্য পুরো দায়িত্ব নিতে হবে।
“ফিশিং এবং ভিশিং আক্রমণগুলির পরিশীলিততা বাড়ার সাথে সাথে, সংস্থাগুলি এই আক্রমণগুলির বিরুদ্ধে প্রতিরক্ষার শেষ লাইন হতে কর্মীদের উপর নির্ভর করতে পারে না,” ক্যারিগান বলেছেন। “পরিবর্তে, সংস্থাগুলি অবশ্যই মেশিন লার্নিং-চালিত সরঞ্জামগুলি ব্যবহার করতে হবে যা বুঝতে পারে যে তাদের কর্মচারীরা কীভাবে তাদের ইনবক্সগুলির সাথে যোগাযোগ করে এবং ব্যবহারকারীদের জন্য তাদের সম্পর্ক, স্বন এবং অনুভূতি, বিষয়বস্তু, কখন এবং কীভাবে লিঙ্কগুলি অনুসরণ করে বা কীভাবে ভাগ করে নেয়, তাদের জন্য কী ক্রিয়াকলাপটি সাধারণ তা একটি প্রোফাইল তৈরি করতে পারে কেবল তখনই তারা সন্দেহজনক কার্যকলাপকে সঠিকভাবে স্বীকৃতি দিতে পারে যা একটি ফিশিং বা ভিশিং আক্রমণ, বা ব্যবসায়িক ই-মেইল আপোমাইজ (বেক) নির্দেশ করতে পারে।”
আরও তথ্যের জন্য, পড়ুন এখানে সম্পূর্ণ প্রতিবেদন।