APT TTPs: স্টেট-স্পন্সরড হ্যাকারদের সাইবার আক্রমণের কৌশল বিশ্লেষণ!

APT-দের বুঝতে গেলে প্রথমে এদেরকে regular cybercrime থেকে আলাদা করা প্রয়োজন। Ransomware group যেমন LockBit বা REvil যদিও sophisticated, এদের motivation সাধারণত financial। তারা দ্রুত access নিয়ে, data encrypt করে, ransom demand করে এবং চলে যায়।

APT-এর প্রকৃতি ভিন্ন। তারা মাসের পর মাস, এমনকি বছরের পর বছর target network-এ অলক্ষিত থেকে যেতে পারে। তাদের প্রাথমিক লক্ষ্য সাধারণত espionage—sensitive information, government secret, military technology, business strategy চুরি। আর্থিক লাভ secondary, বা কখনো অপ্রাসঙ্গিক।

আরেকটি পার্থক্য হলো resource। APT group-গুলো সাধারণত state funding, sophisticated tooling, এবং zero-day exploit-এর access পায়। তাদের operator-রা ফুল-টাইম professional, যাদের জন্য নির্দিষ্ট target-এ research এবং custom tool development করার সময় ও সক্ষমতা থাকে।

প্রসিদ্ধ APT group-এর মধ্যে রয়েছে APT28 (Fancy Bear, রাশিয়া), APT29 (Cozy Bear, রাশিয়া), APT1 (Comment Crew, চীন), APT41 (চীন), Lazarus Group (উত্তর কোরিয়া), Equation Group (যুক্তরাষ্ট্র), এবং Sandworm (রাশিয়া)। প্রতিটি group-এর নিজস্ব signature TTP রয়েছে।

APT campaign শুরু হয় initial access-এর মাধ্যমে। সবচেয়ে কমন vector হলো spear phishing—একটি নির্দিষ্ট ব্যক্তি বা ছোট group-কে target করে অত্যন্ত personalized email পাঠানো। এই email-এ malicious attachment (weaponized Office document, PDF, ISO file) বা link থাকতে পারে।

APT29-এর famous "Cozy Bear" campaign-এ তারা নির্দিষ্ট diplomat এবং think tank researcher-দের target করে। তাদের email-এ legitimate conference invitation বা policy paper-এর মতো content থাকত, যা target-এর জন্য contextually relevant ছিল। এই level-এর personalization থেকে আমরা বুঝতে পারি তাদের reconnaissance কতটা thorough।

আরেকটি technique হলো supply chain compromise। SolarWinds Orion attack (২০২০)-এ APT29 SolarWinds-এর build pipeline compromise করে এবং তাদের software update-এ malicious code inject করেছিল। ১৮,০০০-এর বেশি customer—যাদের মধ্যে US government agency, Fortune 500 company—এই update install করে infected হয়েছিল।

Watering hole attack-এ APT-রা target community-এর প্রায়শই visited website compromise করে। উদাহরণস্বরূপ, একটি specific industry association-এর website-এ malicious script যোগ করা হয়, যাতে সেই industry-এর professional-রা visit করলে infected হন।

Zero-day exploit-এর ব্যবহারও APT-এর একটি signature। Hacking Team breach-এর পর জানা গেছে যে কীভাবে commercial vendor-রা nation-state customer-দের কাছে zero-day বিক্রি করে। Stuxnet-এ চারটি zero-day exploit ব্যবহৃত হয়েছিল, যা একটি unprecedented investment।

Initial access পাওয়ার পর APT-দের পরবর্তী লক্ষ্য হলো persistence—অর্থাৎ system reboot, password change, বা সাধারণ remediation-এর পরেও access বজায় রাখা। MITRE ATT&CK-এর Persistence tactic-এ ২০-এর বেশি technique রয়েছে।

Registry-based persistence সবচেয়ে কমন। HKLM\Software\Microsoft\Windows\CurrentVersion\Run বা equivalent location-এ malicious entry যোগ করা হয়। তবে এটি easily detected, তাই sophisticated APT-রা less obvious location ব্যবহার করেন—যেমন Image File Execution Options দিয়ে debugger hijack, COM hijacking, বা WMI subscription।

Scheduled Task-এর মাধ্যমে persistence-ও জনপ্রিয়। Windows Task Scheduler-এ specific trigger (logon, time, event)-এর সঙ্গে malicious task setup করা হয়। APT29 প্রায়শই scheduled task ব্যবহার করেছে যা subtle ছিল এবং administrator-দের সাধারণ inspection-এ ধরা পড়ত না।

Boot-level persistence সবচেয়ে advanced। UEFI rootkit যেমন MoonBounce (APT41), CosmicStrand, এবং LoJax (APT28) firmware-এ install হয়। এগুলো OS reinstall করলেও থেকে যায়। Hard drive replace না করলে remove করা প্রায় অসম্ভব।

Account creation এবং credential abuse আরেকটি persistence layer। APT-রা valid account create করেন বা existing service account compromise করে দীর্ঘমেয়াদী access নিশ্চিত করেন। Active Directory-তে golden ticket এবং silver ticket attack এই category-তে পড়ে।

APT-দের অন্যতম বৈশিষ্ট্য হলো তাদের sophisticated defense evasion। তারা শুধু avoid করতে চান না—তারা active defense bypass করেন।

Living Off The Land (LOTL) একটি প্রধান কৌশল। External tool ব্যবহার করার পরিবর্তে operating system-এর built-in tool—PowerShell, WMI, certutil, bitsadmin, mshta—exploit করা হয়। এতে file-based detection এড়ানো যায় কারণ এসব tool legitimate এবং signed।

Fileless malware—যা শুধু memory-তে execute হয়, disk-এ লেখা হয় না—আরও কঠিন detect করতে। PowerShell Empire, Cobalt Strike Beacon, এবং custom in-memory loader এই category-তে পড়ে। MITRE ATT&CK technique T1059 (Command and Scripting Interpreter) এই behavior describe করে।

Obfuscation এবং encryption প্রতিটি stage-এ প্রয়োগ করা হয়। Payload encryption (AES, XOR), string obfuscation, control flow flattening, এবং anti-analysis check—সবই combined ভাবে ব্যবহৃত হয়। Equation Group-এর GrayFish এবং DoubleFantasy malware-এ এমন বহুস্তরীয় obfuscation ছিল যে security researcher-দের সম্পূর্ণ analysis করতে কয়েক বছর লেগেছে।

Process injection—DLL injection, process hollowing, atom bombing, thread execution hijacking—malicious code-কে legitimate process-এর context-এ run করায়, যা behavioral analysis-কে confuse করে।

Initial foothold পাওয়ার পর APT-দের লক্ষ্য হয় network-এ আরও দূরে যাওয়া এবং higher privilege অর্জন করা। Pass-the-Hash এবং Pass-the-Ticket-এর মতো credential reuse technique প্রতিটি APT campaign-এ দেখা যায়। Mimikatz এবং তার variant এই কাজে ব্যবহৃত হয়।

Kerberos-related attack—Kerberoasting, AS-REP Roasting, golden ticket, silver ticket—Active Directory environment-এ দ্রুত domain admin privilege অর্জনে সাহায্য করে। APT-রা সাধারণত Domain Controller-এর target নেন কারণ এটি control করলে পুরো domain control করা যায়।

Lateral movement-এর জন্য PsExec, WMI, WinRM, RDP—সবই ব্যবহৃত হয়। SMB-based pivot এবং Pass-the-Hash combination একটি classic technique। SMB null session, SMB relay attack-ও পুরনো কিন্তু এখনও কার্যকর।

Zero-day exploit লক্ষ্যবস্তু network-এ specific privilege escalation-এর জন্য reserved রাখা হয়। সাধারণ engagement-এ এগুলো ব্যবহার করা হয় না কারণ এতে burn হয়ে যাওয়ার ঝুঁকি থাকে।

APT C2 infrastructure-এ অনেক time এবং expertise invest করেন। সাধারণ malware একটি hardcoded IP-এর সঙ্গে connect করে, কিন্তু APT-রা সম্পূর্ণ ভিন্ন approach নেন।

Domain Fronting—একটি technique যেখানে real C2 destination CDN-এর পেছনে লুকানো থাকে। Traffic Cloudflare বা Fastly-এর IP-তে যায়, কিন্তু HTTP Host header-এর মাধ্যমে actual destination resolve হয়। যদিও বড় CDN provider-রা এখন এই practice block করেছে, আগে এটি ব্যাপকভাবে ব্যবহৃত হত।

Legitimate service abuse—Dropbox, Google Drive, Twitter, GitHub-কে C2 channel হিসেবে ব্যবহার করা। APT29-এর HAMMERTOSS malware Twitter-এ specific account-এর tweet-এর মাধ্যমে command পেত এবং Google Apps-এ data exfiltrate করত। এটি detection প্রায় অসম্ভব করে তোলে কারণ traffic legitimate এবং encrypted।

DNS tunneling-এ DNS query/response-এর মাধ্যমে data এবং command exchange হয়। এটি slow কিন্তু firewall এবং monitoring-এর বহু layer bypass করে।

Beacon timing variation—APT C2 communication regular polling করে না, বরং random interval বা jitter ব্যবহার করে যাতে behavioral pattern emerge না করে।

Stuxnet (২০১০) সবচেয়ে famous APT campaign যা ইরানের Natanz পারমাণবিক facility-এ uranium enrichment centrifuge ধ্বংস করেছিল। চারটি Windows zero-day, Siemens PLC-specific exploit, এবং sophisticated propagation mechanism—সবই combined। এটি প্রমাণ করেছে যে cyber attack physical infrastructure-এ ধ্বংসাত্মক প্রভাব ফেলতে পারে।

NotPetya (২০১৭) Sandworm-এর কাজ, যা প্রাথমিকভাবে ইউক্রেনকে target করলেও global supply chain (Maersk, Merck, FedEx) ধ্বংস করেছে। M.E.Doc accounting software-এর update mechanism compromise করে spread করা হয়েছিল। মোট ক্ষতি $10 বিলিয়নের বেশি।

Operation Aurora (২০০৯)-এ APT17 (চীন) Google, Adobe সহ ৩৪টি কোম্পানি target করেছিল। Internet Explorer-এর zero-day ব্যবহার করে source code চুরি করা হয়েছিল। এই incident-এর পর Google চীন থেকে operation বন্ধ করার সিদ্ধান্ত নেয়।

Lazarus Group-এর Bangladesh Bank heist (২০১৬)-এ SWIFT messaging system exploit করে $81 মিলিয়ন চুরি করা হয়েছিল। আরও $1 বিলিয়ন চুরির চেষ্টা ব্যর্থ হয়েছিল typo-এর কারণে। এটি দেখায় যে APT কতটা creative এবং targeted হতে পারে।

APT-এর বিরুদ্ধে কোনো single solution নেই—এটি defense in depth-এর সমন্বিত প্রয়োগ দাবি করে। Threat Intelligence-এ বিনিয়োগ প্রথম ধাপ। Commercial provider (Mandiant, CrowdStrike, Recorded Future) এবং government sharing (CISA, NCSC)-এর মাধ্যমে current TTP সম্পর্কে updated থাকা।

EDR এবং XDR solution gold standard। তবে শুধু deployment যথেষ্ট নয়—proper tuning, alert triage, এবং threat hunting প্রক্রিয়া essential। MITRE ATT&CK framework-এর সাথে detection coverage map করে gap identify করা।

Network segmentation এবং Zero Trust architecture lateral movement-এর সুযোগ সীমিত করে। প্রতিটি resource access-এ continuous verification, micro-segmentation, এবং least privilege principle।

Identity protection-এ MFA, privileged access management (PAM), এবং just-in-time access। AD environment-এ tier model (Tier 0/1/2) প্রয়োগ করা যাতে workstation compromise সরাসরি domain admin compromise-এ পরিণত না হয়।

Regular threat hunting এবং purple team exercise—proactive search এবং continuous improvement। কেবল alert-এ react করা যথেষ্ট নয়; hypothesis-driven hunt-এর মাধ্যমে unknown threat খুঁজে বের করতে হবে।