WinorDLL64: বিশাল লাজারাস আর্সেনাল থেকে একটি পিছনের দরজা?

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

টার্গেট করা অঞ্চল, এবং আচরণ এবং কোডে ওভারল্যাপ, পরামর্শ দেয় যে টুলটি কুখ্যাত উত্তর কোরিয়া-সংযুক্ত APT গ্রুপ দ্বারা ব্যবহৃত হয়

ESET গবেষকরা এর একটি পেলোড আবিষ্কার করেছেন Wslink ডাউনলোডার যেটি আমরা 2021 সালে আবার উন্মোচিত করেছি। আমরা এই পেলোডটিকে এর ফাইলের নামের উপর ভিত্তি করে নাম WinorDLL64 নাম দিয়েছি। WinorDLL64.dll. Wslink, যার ফাইলের নাম ছিল WinorLoaderDLL64.dll, উইন্ডোজ বাইনারিগুলির জন্য একটি লোডার যা অন্যান্য এই ধরনের লোডারগুলির থেকে ভিন্ন, একটি সার্ভার হিসাবে চলে এবং মেমরিতে প্রাপ্ত মডিউলগুলি চালায়। শব্দের পরামর্শ অনুসারে, একটি লোডার একটি পেলোড বা প্রকৃত ম্যালওয়্যার, ইতিমধ্যে আপস করা সিস্টেমে লোড করার জন্য একটি সরঞ্জাম হিসাবে কাজ করে। প্রাথমিক Wslink আপস ভেক্টর চিহ্নিত করা হয়নি.

প্রাথমিকভাবে অজানা Wslink পেলোডটি আমাদের ব্লগপোস্ট প্রকাশের পরপরই দক্ষিণ কোরিয়া থেকে VirusTotal-এ আপলোড করা হয়েছিল এবং Wslink-এর অনন্য নামের উপর ভিত্তি করে আমাদের YARA নিয়মগুলির একটিতে আঘাত করেছিল WinorDLL64. Wslink সম্পর্কে, ESET টেলিমেট্রি শুধুমাত্র কয়েকটি সনাক্তকরণ দেখেছে - মধ্য ইউরোপ, উত্তর আমেরিকা এবং মধ্য প্রাচ্যে।

সার্জারির WinorDLL64 পেলোড একটি ব্যাকডোর হিসাবে কাজ করে যা উল্লেখযোগ্যভাবে বিস্তৃত সিস্টেম তথ্য অর্জন করে, ফাইল ম্যানিপুলেশনের জন্য উপায় সরবরাহ করে, যেমন এক্সফিলট্রেটিং, ওভাররাইট করা এবং ফাইলগুলি অপসারণ করা এবং অতিরিক্ত কমান্ড কার্যকর করে। মজার বিষয় হল, এটি এমন একটি সংযোগের মাধ্যমে যোগাযোগ করে যা ইতিমধ্যেই Wslink লোডার দ্বারা প্রতিষ্ঠিত হয়েছিল।

2021 সালে, আমরা এমন কোনও ডেটা খুঁজে পাইনি যা পরামর্শ দেয় যে Wslink একজন পরিচিত হুমকি অভিনেতার হাতিয়ার। যাইহোক, পেলোডের বিস্তৃত বিশ্লেষণের পরে, আমরা আরোপ করেছি WinorDLL64 লক্ষ্যকৃত অঞ্চলের উপর ভিত্তি করে কম আত্মবিশ্বাসের সাথে লাজারাস এপিটি গ্রুপে এবং পরিচিত লাজারাস নমুনাগুলির সাথে আচরণ এবং কোড উভয়েরই ওভারল্যাপ।

অন্তত 2009 সাল থেকে সক্রিয়, এই কুখ্যাত উত্তর-কোরিয়া সমন্বিত গোষ্ঠী হাই-প্রোফাইল ঘটনার জন্য দায়ী যেমন উভয় সনি পিকচার্স এন্টারটেইনমেন্ট হ্যাক এবং মিলিয়ন মিলিয়ন ডলার 2016 সালে সাইবারহিস্ট, দ্য WannaCryptor (ওরফে ওয়ানাক্রাই) 2017 সালে প্রাদুর্ভাব, এবং এর বিরুদ্ধে বিপর্যয়মূলক আক্রমণের দীর্ঘ ইতিহাস দক্ষিণ কোরিয়ার জনসাধারণ এবং সমালোচনামূলক অবকাঠামো অন্তত ২০১১ সাল থেকে। ইউএস-সিইআরটি এবং এফবিআই এই গ্রুপটিকে ডাকে লুকানো কোবরা.

আমাদের উপর ভিত্তি করে ব্যাপক জ্ঞান এই গ্রুপের কার্যক্রম এবং ক্রিয়াকলাপ সম্পর্কে, আমরা বিশ্বাস করি যে লাজারাস একটি বৃহৎ দল নিয়ে গঠিত যা পদ্ধতিগতভাবে সংগঠিত, ভালভাবে প্রস্তুত এবং বেশ কয়েকটি উপগোষ্ঠীর সমন্বয়ে গঠিত যা একটি বড় টুলসেট ব্যবহার করে। গত বছর, আমরা একটি ল্যাজারাস টুল আবিষ্কার করেন যে সুবিধা নিয়েছে CVE-2021-21551 নেদারল্যান্ডসের একটি মহাকাশ কোম্পানির কর্মচারী এবং বেলজিয়ামের একজন রাজনৈতিক সাংবাদিককে লক্ষ্য করার দুর্বলতা। এটি ছিল দুর্বলতার প্রথম নথিভুক্ত অপব্যবহার; সংমিশ্রণে, টুল এবং দুর্বলতা আপোসকৃত মেশিনে সমস্ত নিরাপত্তা সমাধানের নিরীক্ষণকে অন্ধ করে দেয়। আমরা একটি বিস্তৃত বিবরণ প্রদান ভার্চুয়াল মেশিনের গঠন Wslink এর নমুনায় ব্যবহৃত হয়।

এই ব্লগপোস্টটি লাজারাসকে WinorDLL64-এর অ্যাট্রিবিউশন ব্যাখ্যা করে এবং পেলোডের একটি বিশ্লেষণ প্রদান করে।

লাজারাস লিঙ্ক

আমরা লাজারাস নমুনাগুলির সাথে আচরণ এবং কোড উভয় ক্ষেত্রেই ওভারল্যাপ আবিষ্কার করেছি অপারেশন ঘোস্ট সিক্রেট এবং ব্যাঙ্কশট ইমপ্লান্ট ম্যাকাফি দ্বারা বর্ণিত। ঘোস্টসিক্রেট এবং ব্যাঙ্কশট উভয় নিবন্ধে ইমপ্লান্টের বিবরণে WinorDLL64 এর সাথে কার্যকারিতার ওভারল্যাপ রয়েছে এবং আমরা নমুনাগুলিতে কিছু কোড ওভারল্যাপ পেয়েছি। এই ব্লগপোস্টে আমরা শুধুমাত্র ব্যবহার করব FE887FCAB66D7D7F79F05E0266C0649F0114BA7C WinorDLL64 এর সাথে তুলনা করার জন্য GhostSecret থেকে নমুনা (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), অন্যথায় উল্লিখিত.

নিম্নলিখিত বিবরণগুলি লাজারাসের প্রতি আমাদের স্বল্প আত্মবিশ্বাসের জন্য সমর্থনকারী তথ্যগুলির সংক্ষিপ্তসার করে:

1. ভিকটিমোলজি

AhnLab-এর সহযোগী গবেষকরা তাদের টেলিমেট্রিতে Wslink-এর শিকার দক্ষিণ কোরিয়ানদের নিশ্চিত করেছেন, যা ঐতিহ্যবাহী লাজারাস লক্ষ্যবস্তু বিবেচনা করে একটি প্রাসঙ্গিক সূচক এবং আমরা মাত্র কয়েকটি আঘাত লক্ষ্য করেছি।

চিত্র 1. রিপোর্ট করা হয়েছে দক্ষিণ কোরিয়ার শিকার, যেখানে mstoned7 হলেন আহনল্যাবের গবেষক

2. ম্যালওয়্যার

ম্যাকাফি দ্বারা রিপোর্ট করা সর্বশেষ ঘোস্টসিক্রেট নমুনা (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) ফেব্রুয়ারি 2018 থেকে; আমরা 2018 সালের শেষের দিকে Wslink-এর প্রথম নমুনা দেখেছি এবং সহযোগী গবেষকরা আগস্ট 2018-এ হিট রিপোর্ট করেছেন, যা তারা আমাদের প্রকাশনার পরে প্রকাশ করেছে। অতএব, এই নমুনাগুলি তুলনামূলকভাবে অল্প সময়ের ব্যবধানে দেখা গেছে।
সার্জারির PE সমৃদ্ধ হেডার নির্দেশ করে যে একই উন্নয়ন পরিবেশ এবং একই আকারের প্রকল্পগুলি অন্যান্য পরিচিত লাজারাস নমুনায় ব্যবহার করা হয়েছিল (যেমন, 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962) আমরা নিম্নলিখিত নিয়মগুলি ব্যবহার করে এই ওভারল্যাপটি খুঁজে পেয়েছি যা শুধুমাত্র এই Wslink এবং Lazarus নমুনাগুলিকে কভার করে, যা কম ওজনের একটি সূচক৷ আমরা তাদের উপর পরীক্ষা VirusTotal এর রেট্রোহন্ট এবং আমাদের অভ্যন্তরীণ ফাইল কর্পাস।

rich_signature.length == 80 এবং
pe.rich_signature.toolid(175, 30319) == 7 এবং
pe.rich_signature.toolid(155, 30319) == 1 এবং
pe.rich_signature.toolid(158, 30319) == 10 এবং
pe.rich_signature.toolid(170, 30319) >= 90 এবং
pe.rich_signature.toolid(170, 30319) <= 108

এই নিয়মটি নিম্নলিখিত স্বরলিপিতে অনুবাদ করা যেতে পারে যা আরও পঠনযোগ্য এবং VirusTotal দ্বারা ব্যবহৃত হয়, যেখানে কেউ পণ্য সংস্করণ দেখতে এবং ID তৈরি করতে পারে (VS2010 বিল্ড 30319), সংখ্যা এবং উৎস/অবজেক্ট ফাইলের ধরন ব্যবহৃত ([LTCG C++] যেখানে LTCG মানে লিঙ্ক টাইম কোড জেনারেশন, [এএসএম], [গ]), এবং রপ্তানির সংখ্যা ([এক্সপি]) নিয়মে:

[LTCG C++] VS2010 বিল্ড 30319 count=7
[EXP] VS2010 বিল্ড 30319 count=1
[ASM] VS2010 বিল্ড 30319 count=10
[ C ] VS2010 বিল্ড 30319 গণনা [ 90 .. 108 ]

ঘোস্টসিক্রেট নিবন্ধটি "একটি অনন্য ডেটা সংগ্রহ এবং ইমপ্লান্ট-ইনস্টলেশন উপাদান যা অন্তর্মুখী নিয়ন্ত্রণ সার্ভার সংযোগের জন্য পোর্ট 443 এ শোনে" বর্ণনা করেছে যা অতিরিক্তভাবে একটি পরিষেবা হিসাবে চলে। এটি পোর্ট নম্বর ছাড়াও Wslink ডাউনলোডার আচরণের একটি সঠিক বিবরণ, যা কনফিগারেশনের উপর ভিত্তি করে পরিবর্তিত হতে পারে। সংক্ষেপে বলতে গেলে, বাস্তবায়ন ভিন্ন হলেও, উভয়ই একই উদ্দেশ্য পরিবেশন করে।
লোডারটি ওরিয়ান্স কোড ভার্চুয়ালাইজার দ্বারা ভার্চুয়ালাইজ করা হয়, যা একটি বাণিজ্যিক রক্ষক যা ব্যবহার করা হয় ঘনঘন লাজারাস দ্বারা।
লোডার ব্যবহার করে মেমরি মডিউল মেমরি থেকে সরাসরি মডিউল লোড করার জন্য লাইব্রেরি। লাইব্রেরিটি সাধারণত ম্যালওয়্যার দ্বারা ব্যবহৃত হয় না, তবে এটি উত্তর কোরিয়া-সংযুক্ত গ্রুপ যেমন লাজারাস এবং কিমসুকির মধ্যে বেশ জনপ্রিয়।
WinorDLL64 এবং GhostSecret এর মধ্যে কোডে ওভারল্যাপ যা আমরা আমাদের বিশ্লেষণের সময় পেয়েছি। ফলাফল এবং অ্যাট্রিবিউশনের তাৎপর্য সারণি 1 এ তালিকাভুক্ত করা হয়েছে।

সারণি 1. WinorDLL64 এবং ঘোস্টসিক্রেটের মধ্যে মিল এবং একই হুমকি অভিনেতা উভয়কে দায়ী করার ক্ষেত্রে তাদের তাত্পর্য

WinorDLL64 এবং GhostSecret এর মধ্যে অন্যান্য মিল	প্রভাব
প্রসেসর আর্কিটেকচার পেতে দায়ী কোডে কোড ওভারল্যাপ	কম
বর্তমান ডিরেক্টরি ম্যানিপুলেশনে কোড ওভারল্যাপ	কম
প্রক্রিয়া তালিকা পাওয়ার ক্ষেত্রে কোড ওভারল্যাপ	কম
ফাইল পাঠানোর ক্ষেত্রে কোড ওভারল্যাপ	কম
তালিকা প্রক্রিয়ার মধ্যে আচরণ ওভারল্যাপ	কম
বর্তমান ডিরেক্টরি ম্যানিপুলেশনে আচরণ ওভারল্যাপ	কম
ফাইল এবং ডিরেক্টরি তালিকায় আচরণ ওভারল্যাপ	কম
তালিকা ভলিউম মধ্যে আচরণ ওভারল্যাপ	কম
ফাইল পড়া/লেখাতে আচরণ ওভারল্যাপ	কম
প্রক্রিয়া তৈরিতে আচরণ ওভারল্যাপ	কম
ফাইলের নিরাপদ অপসারণে যথেষ্ট আচরণ ওভারল্যাপ	কম
প্রক্রিয়ার সমাপ্তিতে যথেষ্ট আচরণ ওভারল্যাপ	কম
সিস্টেম তথ্য সংগ্রহে যথেষ্ট আচরণ ওভারল্যাপ	কম

ফাইল পাঠানোর কার্যকারিতার কোড ওভারল্যাপ চিত্র 2 এবং চিত্র 3 এ হাইলাইট করা হয়েছে।

চিত্র 2. ঘোস্টসিক্রেট একটি ফাইল পাঠাচ্ছে

চিত্র 3. Wslink একটি ফাইল পাঠাচ্ছে

প্রযুক্তিগত বিশ্লেষণ

WinorDLL64 একটি ব্যাকডোর হিসেবে কাজ করে যা বিশেষভাবে বিস্তৃত সিস্টেম তথ্য অর্জন করে, ফাইল ম্যানিপুলেশনের জন্য উপায় প্রদান করে এবং অতিরিক্ত কমান্ড চালায়। মজার বিষয় হল, এটি একটি TCP সংযোগের মাধ্যমে যোগাযোগ করে যা ইতিমধ্যেই এর লোডার দ্বারা প্রতিষ্ঠিত হয়েছে এবং লোডারের কিছু ফাংশন ব্যবহার করে।

চিত্র 4. Wslink এর যোগাযোগের ভিজ্যুয়ালাইজেশন

ব্যাকডোর হল একটি DLL যার একটি একক নামবিহীন রপ্তানি যা একটি প্যারামিটার গ্রহণ করে – যোগাযোগের জন্য একটি কাঠামো যা ইতিমধ্যে আমাদের এ বর্ণিত হয়েছে পূর্ববর্তী ব্লগপোস্ট. কাঠামোটিতে একটি TLS-প্রসঙ্গ রয়েছে - সকেট, কী, IV - এবং 256-বিট AES-CBC দিয়ে এনক্রিপ্ট করা বার্তা পাঠানো এবং গ্রহণ করার জন্য কলব্যাক যা WinorDLL64 কে ইতিমধ্যেই প্রতিষ্ঠিত সংযোগের মাধ্যমে অপারেটরের সাথে নিরাপদে ডেটা বিনিময় করতে সক্ষম করে৷

নিম্নলিখিত তথ্যগুলি আমাদের উচ্চ আত্মবিশ্বাসের সাথে বিশ্বাস করতে পরিচালিত করে যে লাইব্রেরিটি আসলেই Wslink-এর অংশ:

অনন্য কাঠামো প্রত্যাশিত উপায়ে সর্বত্র ব্যবহৃত হয়, যেমন, TLS-প্রসঙ্গ এবং অন্যান্য অর্থপূর্ণ প্যারামিটারগুলি প্রত্যাশিত ক্রমে সঠিক কলব্যাকগুলিতে সরবরাহ করা হয়।
DLL এর নাম WinorDLL64.dll এবং Wslink এর নাম ছিল WinorLoaderDLL64.dll.

WinorDLL64 বিভিন্ন কমান্ড গ্রহণ করে। চিত্র 5 লুপ প্রদর্শন করে যা কমান্ড গ্রহণ করে এবং পরিচালনা করে। প্রতিটি কমান্ড একটি অনন্য আইডিতে আবদ্ধ এবং একটি কনফিগারেশন গ্রহণ করে যাতে অতিরিক্ত পরামিতি রয়েছে।

চিত্র 5. ব্যাকডোরের কমান্ড-রিসিভিং লুপের প্রধান অংশ

কমান্ড তালিকা, আমাদের লেবেল সহ, চিত্র 6 এ রয়েছে।

চিত্র 6. কমান্ড তালিকা

সারণি 2-এ WinorDLL64 কমান্ডগুলির একটি সারাংশ রয়েছে, যেখানে পরিবর্তিত, এবং পুরানো বিভাগগুলি পূর্বে নথিভুক্ত GhostSecret কার্যকারিতার সাথে সম্পর্ক উল্লেখ করে। আমরা পরিবর্তিত বিভাগে শুধুমাত্র উল্লেখযোগ্য পরিবর্তন হাইলাইট.

সারণী 2. ব্যাকডোর কমান্ডের ওভারভিউ

বিভাগ	কমান্ড আইডি	কার্যকারিতার	বিবরণ
নতুন	0x03	একটি পাওয়ারশেল কমান্ড চালান	WinorDLL64 PowerShell ইন্টারপ্রেটারকে অবাধে চালাতে এবং স্ট্যান্ডার্ড ইনপুট থেকে কমান্ড পড়তে নির্দেশ দেয়। তারপরে, ব্যাকডোর দোভাষীর কাছে নির্দিষ্ট কমান্ড প্রেরণ করে এবং অপারেটরের কাছে আউটপুট পাঠায়।
	0x09	একটি ডিরেক্টরি সংকুচিত করুন এবং ডাউনলোড করুন	WinorDLL64 একটি নির্দিষ্ট ডিরেক্টরির উপর পুনরাবৃত্তিমূলকভাবে পুনরাবৃত্তি করে। প্রতিটি ফাইল এবং ডিরেক্টরির বিষয়বস্তু আলাদাভাবে সংকুচিত করা হয় এবং একটি অস্থায়ী ফাইলে লেখা হয় যা পরে অপারেটরের কাছে পাঠানো হয় এবং তারপরে নিরাপদে সরানো হয়।
	0x0D	একটি অধিবেশন সংযোগ বিচ্ছিন্ন করুন	ব্যবহারকারীর দূরবর্তী ডেস্কটপ পরিষেবা সেশন থেকে একটি নির্দিষ্ট লগ-অন ব্যবহারকারীকে সংযোগ বিচ্ছিন্ন করে। কমান্ডটি প্যারামিটারের উপর ভিত্তি করে বিভিন্ন কার্যকারিতাও সম্পাদন করতে পারে।
	0x0D	তালিকা সেশন	শিকারের ডিভাইসে সমস্ত সেশন সম্পর্কে বিভিন্ন বিবরণ অর্জন করে এবং সেগুলি অপারেটরের কাছে পাঠায়। কমান্ডটি প্যারামিটারের উপর ভিত্তি করে বিভিন্ন কার্যকারিতাও সম্পাদন করতে পারে।
	0x0E	সংযোগের সময় পরিমাপ করুন	Windows API ব্যবহার করে GetTickCount একটি নির্দিষ্ট হোস্টের সাথে সংযোগ করার জন্য প্রয়োজনীয় সময় পরিমাপ করতে।
পরিমিত	0x01	সিস্টেমের তথ্য পান	শিকারের সিস্টেম সম্পর্কে বিস্তৃত বিবরণ অর্জন করে এবং অপারেটরের কাছে পাঠায়।
	0x0A	নিরাপদে ফাইল সরান	র্যান্ডম ডেটার একটি ব্লকের সাথে নির্দিষ্ট ফাইলগুলিকে ওভাররাইট করে, প্রতিটি ফাইলকে একটি র্যান্ডম নামে পুনঃনামকরণ করে এবং অবশেষে নিরাপদে সেগুলিকে একের পর এক সরিয়ে দেয়।
	0x0 সি	প্রক্রিয়া হত্যা	সমস্ত প্রক্রিয়া বন্ধ করে যার নাম সরবরাহকৃত প্যাটার্ন এবং/অথবা একটি নির্দিষ্ট PID এর সাথে মেলে।
পুরাতন	0x02/0x0B	একটি প্রক্রিয়া তৈরি করুন	বর্তমান বা নির্দিষ্ট ব্যবহারকারী হিসাবে একটি প্রক্রিয়া তৈরি করে এবং ঐচ্ছিকভাবে অপারেটরের কাছে তার আউটপুট পাঠায়।
	0x05	বর্তমান ডিরেক্টরি সেট/পান	বর্তমান ওয়ার্কিং ডিরেক্টরির পথ সেট এবং পরবর্তীতে অর্জন করার প্রচেষ্টা।
	0x06	তালিকা ভলিউম	C: থেকে Z: পর্যন্ত ড্রাইভের উপর পুনরাবৃত্তি করে এবং ড্রাইভের ধরন এবং ভলিউমের নাম অর্জন করে। কমান্ডটি প্যারামিটারের উপর ভিত্তি করে বিভিন্ন কার্যকারিতাও সম্পাদন করতে পারে।
	0x06	একটি ডিরেক্টরির মধ্যে ফাইল তালিকা	নির্দিষ্ট ডিরেক্টরিতে ফাইলগুলির উপর পুনরাবৃত্তি করে এবং নাম, বৈশিষ্ট্য ইত্যাদির মতো তথ্য অর্জন করে৷ কমান্ডটি প্যারামিটারের উপর ভিত্তি করে বিভিন্ন কার্যকারিতাও সম্পাদন করতে পারে৷
	0x07	একটি ফাইল লিখুন	ডাউনলোড করে এবং নির্দিষ্ট ফাইলে উল্লেখিত পরিমাণ ডেটা যুক্ত করে।
	0x08	একটি ফাইল থেকে পড়ুন	নির্দিষ্ট ফাইল পড়া এবং অপারেটর পাঠানো হয়.
	0x0 সি	তালিকা প্রক্রিয়া	শিকারের ডিভাইসে চলমান সমস্ত প্রক্রিয়া সম্পর্কে বিশদ বিবরণ অর্জন করে এবং উপরন্তু বর্তমান প্রক্রিয়ার আইডি পাঠায়।

উপসংহার

Wslink এর পেলোডটি ফাইল ম্যানিপুলেশন, আরও কোড কার্যকর করার জন্য উপায় প্রদানের জন্য এবং অন্তর্নিহিত সিস্টেম সম্পর্কে বিস্তৃত তথ্য প্রাপ্ত করার জন্য নিবেদিত যা সম্ভবত পরবর্তীতে পার্শ্বীয় আন্দোলনের জন্য লিভারেজ করা যেতে পারে, নেটওয়ার্ক সেশনে নির্দিষ্ট আগ্রহের কারণে। Wslink লোডার কনফিগারেশনে নির্দিষ্ট একটি পোর্টে শোনে এবং অতিরিক্ত সংযোগকারী ক্লায়েন্টদের পরিবেশন করতে পারে, এমনকি বিভিন্ন পেলোড লোড করতে পারে।

WinorDLL64-এ ডেভেলপমেন্ট এনভায়রনমেন্ট, আচরণ, এবং বেশ কয়েকটি লাজারাস নমুনা সহ কোডের একটি ওভারল্যাপ রয়েছে, যা নির্দেশ করে যে এটি উত্তর-কোরিয়া সারিবদ্ধ এপিটি গ্রুপের বিশাল অস্ত্রাগার হতে পারে।

ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.

আইওসি

রয়েছে SHA-1	ESET সনাক্তকরণের নাম	বিবরণ
1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F	Win64/Wslink.A	আবিষ্কৃত Wslink পেলোড WinorDll64 এর মেমরি ডাম্প।

মিটার ATT এবং CK কৌশল

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 12 সংস্করণ ATT&CK ফ্রেমওয়ার্কের। আমরা আবার লোডার থেকে কৌশল উল্লেখ করি না, শুধুমাত্র পেলোড।

যুদ্ধকৌশল	ID	নাম	বিবরণ
রিসোর্স ডেভলপমেন্ট	T1587.001	সক্ষমতা বিকাশ: ম্যালওয়্যার	WinorDLL64 একটি কাস্টম টুল।
ফাঁসি	T1059.001	কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: পাওয়ারশেল	WinorDLL64 নির্বিচারে PowerShell কমান্ড চালাতে পারে।
ফাঁসি	T1106	নেটিভ এপিআই	WinorDLL64 ব্যবহার করে আরও প্রক্রিয়া চালাতে পারে CreateProcessW এবং CreateProcessAsUserW API গুলি।
প্রতিরক্ষা ফাঁকি	T1134.002	অ্যাক্সেস টোকেন ম্যানিপুলেশন: টোকেন দিয়ে প্রক্রিয়া তৈরি করুন	WinorDLL64 API কল করতে পারে WTSQueryUserToken এবং CreateProcessAsUserW একটি ছদ্মবেশী ব্যবহারকারীর অধীনে একটি প্রক্রিয়া তৈরি করতে।
প্রতিরক্ষা ফাঁকি	T1070.004	নির্দেশক অপসারণ: ফাইল মুছে ফেলা	WinorDLL64 সুরক্ষিতভাবে নির্বিচারে ফাইল মুছে ফেলতে পারে।
আবিষ্কার	T1087.001	অ্যাকাউন্ট আবিষ্কার: স্থানীয় অ্যাকাউন্ট	WinorDLL64 সেশন গণনা করতে পারে এবং অন্যান্য বিবরণের মধ্যে সংশ্লিষ্ট ব্যবহারকারী এবং ক্লায়েন্টের নাম তালিকাভুক্ত করতে পারে।
	T1087.002	অ্যাকাউন্ট আবিষ্কার: ডোমেন অ্যাকাউন্ট	WinorDLL64 সেশনগুলি গণনা করতে পারে এবং অন্যান্য বিশদ বিবরণের সাথে সম্পর্কিত ডোমেন নামগুলি তালিকাভুক্ত করতে পারে।
	T1083	ফাইল এবং ডিরেক্টরি আবিষ্কার	WinorDLL64 ফাইল এবং ডিরেক্টরি তালিকা পেতে পারেন।
	T1135	নেটওয়ার্ক শেয়ার আবিষ্কার	WinorDLL64 শেয়ার্ড নেটওয়ার্ক ড্রাইভ আবিষ্কার করতে পারে।
	T1057	প্রক্রিয়া আবিষ্কার	WinorDLL64 চলমান প্রক্রিয়া সম্পর্কে তথ্য সংগ্রহ করতে পারে।
	T1012	প্রশ্ন রেজিস্ট্রি	WinorDLL64 সিস্টেমের তথ্য সংগ্রহ করতে উইন্ডোজ রেজিস্ট্রি জিজ্ঞাসা করতে পারে।
	T1082	সিস্টেম তথ্য আবিষ্কার	WinorDLL64 কম্পিউটারের নাম, OS এবং সর্বশেষ পরিষেবা প্যাক সংস্করণ, প্রসেসরের আর্কিটেকচার, প্রসেসরের নাম এবং নির্দিষ্ট ড্রাইভে স্থানের পরিমাণের মতো তথ্য পেতে পারে।
	T1614	সিস্টেম অবস্থান আবিষ্কার	WinorDLL64 ব্যবহার করে শিকারের ডিফল্ট দেশের নাম পেতে পারে GetLocaleInfoW API- টি।
	T1614.001	সিস্টেম লোকেশন ডিসকভারি: সিস্টেম ল্যাঙ্গুয়েজ ডিসকভারি	WinorDLL64 ব্যবহার করে শিকারের ডিফল্ট ভাষা পেতে পারে GetLocaleInfoW API- টি।
	T1016	সিস্টেম নেটওয়ার্ক কনফিগারেশন আবিষ্কার	WinorDLL64 নেটওয়ার্ক অ্যাডাপ্টারের তথ্য গণনা করতে পারে।
	T1049	সিস্টেম নেটওয়ার্ক সংযোগ আবিষ্কার	WinorDLL64 লিসেনিং পোর্টের একটি তালিকা সংগ্রহ করতে পারে।
	T1033	সিস্টেমের মালিক/ব্যবহারকারী আবিষ্কার	WinorDLL64 সেশনগুলি গণনা করতে পারে এবং সংশ্লিষ্ট ব্যবহারকারী, ডোমেন এবং ক্লায়েন্টের নাম-অন্যান্য বিবরণগুলির মধ্যে তালিকাভুক্ত করতে পারে।
সংগ্রহ	T1560.002	সংগৃহীত তথ্য সংরক্ষণাগার: লাইব্রেরির মাধ্যমে সংরক্ষণাগার	WinorDLL64 ব্যবহার করে ডিরেক্টরিগুলিকে সংকুচিত এবং এক্সফিল্ট করতে পারে দ্রুত গ্রন্থাগার।
সংগ্রহ	T1005	স্থানীয় সিস্টেম থেকে ডেটা	WinorDLL64 শিকারের ডিভাইসে ডেটা সংগ্রহ করতে পারে।
প্রভাব	T1531	অ্যাকাউন্ট অ্যাক্সেস অপসারণ	WinorDLL64 একটি লগ-অন ব্যবহারকারীকে নির্দিষ্ট সেশন থেকে সংযোগ বিচ্ছিন্ন করতে পারে।

এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
উত্স: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/

সময় স্ট্যাম্প: ফেব্রুয়ারী 23, 2023

সময় স্ট্যাম্প: জানুয়ারী 9, 2023

প্লেটো দ্বারা প্রকাশিত

হ্যাক হওয়া ইনস্টাগ্রাম অ্যাকাউন্টের সাথে কী ঘটে - এবং কীভাবে এটি পুনরুদ্ধার করা যায়

APT‑C‑50 FurBall Android ম্যালওয়্যার আপডেট করে – টনি অ্যানসকম্বের সাথে নিরাপত্তায় সপ্তাহ

এক বছর পর, সাইবারস্পেসে যুদ্ধ কীভাবে চলছে? - টনি অ্যানসকম্বের সাথে নিরাপত্তায় সপ্তাহ

সাইবার অ্যাটাকস: সংস্থাগুলির জন্য একটি খুব বাস্তব অস্তিত্বের হুমকি৷

বিশ্ব ব্যাকআপ দিবস: ডেটা বিপর্যয় এড়ানো একটি চিরকালের বিষয়

ESET থ্রেট রিপোর্ট H2 2023-এর মূল ফলাফল - টনি অ্যানসকম্বের সাথে নিরাপত্তায় সপ্তাহ

আমাদের সম্পর্কে

উল্লম্ব অনুসন্ধান এবং আই

প্ল্যাটফর্ম

যোগাযোগ রেখো

হিসাব