Log4j দুর্বলতাগুলি এখন উইন্ডোজ ডিফেন্ডার কমান্ড লাইন টুলের মাধ্যমে কোবাল্ট স্ট্রাইক বীকন স্থাপন করতে ব্যবহার করা হচ্ছে, গবেষকরা খুঁজে পেয়েছেন।
সেন্টিনেল ল্যাবসের সাইবারসিকিউরিটি গবেষকরা সম্প্রতি একটি নতুন পদ্ধতি দেখেছেন, যেটি একজন অজানা হুমকি অভিনেতা দ্বারা নিযুক্ত করা হয়েছে, যার শেষ খেলাটি হল লকবিট 3.0 র্যানসমওয়্যার স্থাপন।
এটি এইভাবে কাজ করে: হুমকি অভিনেতা log4shell (যেমন Log4j জিরো-ডে ডাব করা হয়) একটি টার্গেট এন্ডপয়েন্টে অ্যাক্সেস পেতে এবং প্রয়োজনীয় ব্যবহারকারীর বিশেষাধিকার পেতে পারে। একবার এটি শেষ হয়ে গেলে, তারা তিনটি পৃথক ফাইল ডাউনলোড করতে পাওয়ারশেল ব্যবহার করবে: একটি উইন্ডোজ সিএল ইউটিলিটি ফাইল (ক্লিন), একটি ডিএলএল ফাইল (mpclient.dll), এবং একটি LOG ফাইল (প্রকৃত কোবাল্ট স্ট্রাইক বীকন)।
সাইড-লোডিং কোবাল্ট স্ট্রাইক
তারপরে তারা MpCmdRun.exe চালাবে, একটি কমান্ড লাইন ইউটিলিটি যা মাইক্রোসফ্ট ডিফেন্ডারের জন্য বিভিন্ন কাজ করে। এই প্রোগ্রামটি সাধারণত একটি বৈধ DLL ফাইল লোড করবে - mpclient.dll, যা সঠিকভাবে চালানোর জন্য প্রয়োজন। কিন্তু এই উদাহরণে, প্রোগ্রামটি একই নামের একটি দূষিত DLL লোড করবে, যা প্রোগ্রামের সাথে একসাথে ডাউনলোড করা হবে।
সেই DLL-এ LOG ফাইল লোড থাকবে এবং একটি এনক্রিপ্ট করা কোবাল্ট স্ট্রাইক পেলোড ডিক্রিপ্ট করবে৷
এটি সাইড-লোডিং নামে পরিচিত একটি পদ্ধতি।
সাধারণত, এই লকবিট অ্যাফিলিয়েট কোবল্ট স্ট্রাইক বীকনগুলিকে সাইড-লোড করতে VMware-এর কমান্ড লাইন টুল ব্যবহার করে, BleepingComputer বলে, তাই উইন্ডোজ ডিফেন্ডারে সুইচ করা কিছুটা অস্বাভাবিক। প্রকাশনাটি অনুমান করে যে VMware সম্প্রতি চালু করা লক্ষ্যযুক্ত সুরক্ষাগুলিকে বাইপাস করার জন্য পরিবর্তনটি করা হয়েছিল। তবুও, অ্যান্টিভাইরাস দ্বারা শনাক্ত হওয়া এড়াতে লিভিং-অফ-দ্য-ল্যান্ড টুল ব্যবহার করা (নতুন ট্যাবে খোলে) বা ম্যালওয়্যার (নতুন ট্যাবে খোলে) এই দিনগুলিতে সুরক্ষা পরিষেবাগুলি "অত্যন্ত সাধারণ", প্রকাশনাটি শেষ করে, ব্যবসায়িকদের তাদের সুরক্ষা নিয়ন্ত্রণগুলি পরীক্ষা করার জন্য এবং কীভাবে বৈধ নির্বাহযোগ্যগুলি (এবি) ব্যবহার করা হচ্ছে তা ট্র্যাক করার বিষয়ে সতর্ক থাকার আহ্বান জানায়৷
যদিও কোবাল্ট স্ট্রাইক একটি বৈধ হাতিয়ার, যা অনুপ্রবেশ পরীক্ষার জন্য ব্যবহৃত হয়, এটি বেশ কুখ্যাত হয়ে উঠেছে কারণ এটি সর্বত্র হুমকি অভিনেতাদের দ্বারা অপব্যবহার করা হচ্ছে। এটি বৈশিষ্ট্যগুলির একটি বিস্তৃত তালিকার সাথে আসে যা সাইবার অপরাধীরা লক্ষ্যবস্তু নেটওয়ার্কের ম্যাপ আউট করতে ব্যবহার করতে পারে, সনাক্ত করা যায় না, এবং শেষবিন্দু জুড়ে পার্শ্ববর্তী স্থানান্তর করতে পারে, কারণ তারা ডেটা চুরি করতে এবং র্যানসমওয়্যার স্থাপনের জন্য প্রস্তুত করে।
এর মাধ্যমে: BleepingComputer (নতুন ট্যাবে খোলে)