বিটার এপিটি হ্যাকাররা দক্ষিণ এশিয়ায় তাদের লক্ষ্যের তালিকায় বাংলাদেশকে যুক্ত করেছে

চীন, পাকিস্তান এবং সৌদি আরবকে টার্গেট করার জন্য পরিচিত একজন গুপ্তচরবৃত্তি-কেন্দ্রিক হুমকি অভিনেতা 2021 সালের আগস্টে শুরু হওয়া একটি চলমান প্রচারণার অংশ হিসাবে বাংলাদেশী সরকারী সংস্থাগুলির উপর দৃষ্টি রাখার জন্য প্রসারিত হয়েছে।

সাইবারসিকিউরিটি ফার্ম সিসকো ট্যালোস মাঝারি আত্মবিশ্বাসের সাথে কার্যকলাপের জন্য দায়ী করেছে একটি হ্যাকিং গ্রুপকে তিক্ত এপিটি কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামোর ওভারল্যাপের উপর ভিত্তি করে একই অভিনেতা দ্বারা মাউন্ট করা পূর্বের প্রচারণাগুলির সাথে।

“এই হুমকি অভিনেতার জন্য আমরা যে প্রোফাইলটি সংজ্ঞায়িত করেছি তা বাংলাদেশ মানিয়েছে, এর আগে দক্ষিণ-পূর্ব এশিয়ার দেশগুলি সহ চীনপাকিস্তান, এবং সৌদি আরব, “ভিটর ভেনচুরা, সিসকো তালোসের প্রধান নিরাপত্তা গবেষক, টিপুরাতন হ্যাকার নিউজ।

“এবং এখন, এই সর্বশেষ প্রচারণায়, তারা বাংলাদেশে তাদের প্রসার ঘটিয়েছে। দক্ষিণ-পূর্ব এশিয়ার যে কোনো নতুন দেশ বিটার এপিটি দ্বারা লক্ষ্যবস্তুতে বিস্মিত হওয়ার কিছু নেই।”

Bitter (ওরফে APT-C-08 বা T-APT-17) একটি দক্ষিণ এশিয়ান হ্যাকিং গ্রুপ বলে সন্দেহ করা হয় যা প্রাথমিকভাবে গোয়েন্দা তথ্য সংগ্রহের দ্বারা অনুপ্রাণিত, একটি অপারেশন যা BitterRAT, ArtraDownloader, এবং AndroRAT-এর মতো ম্যালওয়্যারের মাধ্যমে সহায়তা করে। বিশিষ্ট লক্ষ্যগুলির মধ্যে রয়েছে শক্তি, প্রকৌশল এবং সরকারী খাত।

প্রথম দিকের আক্রমণগুলি ছিল সেপ্টেম্বর 2014 তারিখের বিটাররাট-এর মোবাইল সংস্করণ বিতরণ করা, যেখানে অভিনেতার শূন্য-দিনের ত্রুটিগুলি ব্যবহার করার ইতিহাস রয়েছে – CVE-2021-1732 এবং CVE-2021-28310 – এর সুবিধার জন্য এবং এর প্রতিকূল উদ্দেশ্যগুলি অর্জন করতে পারে।

সর্বশেষ প্রচারাভিযান, বাংলাদেশ সরকারের একটি অভিজাত সত্তাকে লক্ষ্য করে, বাংলাদেশ পুলিশের (র‌্যাব)-এর র‌্যাপিড অ্যাকশন ব্যাটালিয়ন ইউনিটের উচ্চপদস্থ কর্মকর্তাদের বর্শা-ফিশিং ইমেল পাঠানো জড়িত।

এই ধরনের অন্যান্য সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণে যেমনটি সাধারণত দেখা যায়, ক্ষেপণাস্ত্রগুলিকে একটি অস্ত্রযুক্ত RTF নথি বা একটি মাইক্রোসফট এক্সেল স্প্রেডশীট খোলার জন্য প্রাপকদের প্রলুব্ধ করার জন্য ডিজাইন করা হয়েছে যা একটি নতুন ট্রোজান স্থাপন করার জন্য সফ্টওয়্যারের পূর্বে পরিচিত ত্রুটিগুলিকে কাজে লাগায়; “ZxxZ” ডাব করা হয়েছে।

ZxxZ, C2 সার্ভারে তথ্য ফেরত পাঠানোর সময় ম্যালওয়্যার দ্বারা ব্যবহৃত একটি বিভাজকের নামে নামকরণ করা হয়েছে, এটি একটি 32-বিট উইন্ডোজ এক্সিকিউটেবল যা ভিজ্যুয়াল C++ এ কম্পাইল করা হয়েছে।

“ট্রোজান একটি উইন্ডোজ সিকিউরিটি আপডেট পরিষেবা হিসাবে মাস্করেড করে এবং অনুমতি দেয়৷

দূষিত অভিনেতা রিমোট কোড এক্সিকিউশন সঞ্চালন করতে, আক্রমণকারীকে অন্যান্য সরঞ্জামগুলি ইনস্টল করে অন্য কোনও ক্রিয়াকলাপ সম্পাদন করার অনুমতি দেয়, “গবেষকরা ব্যাখ্যা করেছেন।

যদিও দূষিত RTF ডকুমেন্ট মাইক্রোসফট অফিসের ইকুয়েশন এডিটর (CVE-2017-11882) এর মেমরি দুর্নীতির দুর্বলতাকে কাজে লাগায়, তখন Excel ফাইল দুটি রিমোট কোড এক্সিকিউশন ত্রুটির অপব্যবহার করে, CVE-2018-0798 এবং CVE-2018-0802সংক্রমণ ক্রম সক্রিয় করতে.

“অভিনেতারা প্রায়শই সনাক্তকরণ বা অ্যাট্রিবিউশন এড়াতে তাদের সরঞ্জামগুলি পরিবর্তন করে, এটি একটি হুমকি অভিনেতার জীবনচক্রের অংশ যা তার সক্ষমতা এবং সংকল্প প্রদর্শন করে,” ভেঞ্চুরা বলেছিলেন।