“মাইক্রোসফ্ট মূল্যায়ন করে যে সিক্রেট ব্লিজার্ড হয় Amadey ম্যালওয়্যারটিকে একটি পরিষেবা (MaaS) হিসাবে ব্যবহার করেছে বা লক্ষ্য ডিভাইসগুলিতে পাওয়ারশেল ড্রপার ডাউনলোড করতে গোপনে Amadey কমান্ড-এন্ড-কন্ট্রোল (C2) প্যানেলগুলি অ্যাক্সেস করেছে,” মাইক্রোসফ্ট বলেছে৷ “পাওয়ারশেল ড্রপারে একটি বেস 64-এনকোডেড অ্যামাডে পেলোড কোড দ্বারা সংযোজিত ছিল যা সিক্রেট ব্লিজার্ড C2 পরিকাঠামোতে একটি অনুরোধ করেছিল।”
চূড়ান্ত উদ্দেশ্য ছিল Tavdig ইনস্টল করা, একটি ব্যাকডোর সিক্রেট ব্লিজার্ড যা স্বার্থের লক্ষ্যবস্তুতে অনুসন্ধান চালাতে ব্যবহৃত হয়। Amdey নমুনা মাইক্রোসফ্ট ডিভাইস ক্লিপবোর্ড থেকে সংগৃহীত তথ্য এবং ব্রাউজার থেকে সংগ্রহ করা পাসওয়ার্ড আবিষ্কার করেছে। তারপরে এটি একটি কাস্টম রিকনেসান্স টুল ইনস্টল করতে যাবে যা “নির্বাচিতভাবে হুমকি অভিনেতার দ্বারা আরও আগ্রহের ডিভাইসগুলিতে মোতায়েন করা হয়েছিল-উদাহরণস্বরূপ, STARLINK IP ঠিকানাগুলি থেকে বেরিয়ে আসা ডিভাইসগুলি, ইউক্রেনীয় ফ্রন্ট-লাইন সামরিক ডিভাইসগুলির একটি সাধারণ স্বাক্ষর।”
যখন সিক্রেট ব্লিজার্ড মূল্যায়ন করে যে একটি লক্ষ্য উচ্চ মূল্যের ছিল, তখন এটি “ব্যবহারকারীর তথ্য, নেটস্ট্যাট এবং ইনস্টল করা প্যাচগুলি এবং আপোসকৃত ডিভাইসে রেজিস্ট্রি সেটিংস আমদানি করতে” সহ তথ্য সংগ্রহ করতে Tavdig ইনস্টল করবে৷
বছরের শুরুর দিকে, মাইক্রোসফ্ট বলেছিল, কোম্পানির তদন্তকারীরা ইউক্রেনীয় সামরিক কর্মীদের লক্ষ্য করার জন্য Storm-1887-এর অন্তর্গত সরঞ্জামগুলি ব্যবহার করে গোপন ব্লিজার্ড পর্যবেক্ষণ করেছে। মাইক্রোসফট গবেষকরা লিখেছেন:
জানুয়ারী 2024 সালে, মাইক্রোসফ্ট ইউক্রেনের একটি সামরিক-সম্পর্কিত ডিভাইস পর্যবেক্ষণ করেছে যেটি একটি Storm-1837 ব্যাকডোর দ্বারা কনফিগার করা হয়েছে যাতে ফাইল-শেয়ারিং প্ল্যাটফর্ম মেগা-তে একটি অ্যাকাউন্টের জন্য শংসাপত্র সহ একটি cmdlet (প্যারামিটার হিসাবে সরবরাহ করা হয়) চালু করার জন্য Telegram API ব্যবহার করার জন্য কনফিগার করা হয়েছে। cmdlet মেগা অ্যাকাউন্টে দূরবর্তী সংযোগের সুবিধা দিয়েছে এবং সম্ভবত লক্ষ্য ডিভাইসে লঞ্চের জন্য কমান্ড বা ফাইল ডাউনলোড করার আহ্বান জানিয়েছে। যখন Storm-1837 PowerShell ব্যাকডোর চালু হয়, তখন মাইক্রোসফ্ট ডিভাইসে একটি পাওয়ারশেল ড্রপার মোতায়েন লক্ষ্য করে। ড্রপারটি Amadey বট ব্যবহারের সময় পর্যবেক্ষণ করা একটির মতোই ছিল এবং এতে দুটি বেস64 এনকোড করা ফাইল রয়েছে যাতে পূর্বে উল্লেখ করা Tavdig ব্যাকডোর পেলোড (rastls.dll) এবং সিম্যানটেক বাইনারি (kavp.exe) ছিল।
Amadey বট অ্যাটাক চেইনের মতো, সিক্রেট ব্লিজার্ড ডিভাইসে প্রাথমিক পুনরুদ্ধার করার জন্য kavp.exe-এ লোড করা Tavdig ব্যাকডোর ব্যবহার করেছিল। সিক্রেট ব্লিজার্ড তারপরে একটি রেজিস্ট্রি ফাইল আমদানি করতে Tavdig ব্যবহার করেছিল, যা KazuarV2 ব্যাকডোর ইনস্টল করতে এবং অধ্যবসায় প্রদান করতে ব্যবহৃত হয়েছিল, যা পরবর্তীতে প্রভাবিত ডিভাইসে চালু হতে দেখা গেছে।
যদিও মাইক্রোসফ্ট স্টর্ম-1837 পাওয়ারশেল ব্যাকডোর Tavdig লোডার ডাউনলোড করার সময় সরাসরি পর্যবেক্ষণ করেনি, স্টর্ম-1837 ব্যাকডোর এবং পাওয়ারশেল ড্রপারের পর্যবেক্ষণের মধ্যে সাময়িক নৈকট্যের উপর ভিত্তি করে, মাইক্রোসফ্ট মূল্যায়ন করে যে এটি সম্ভবত স্টর্ম-1837 Tavdig মোতায়েন করার জন্য গোপন ব্লিজার্ড দ্বারা ব্যাকডোর ব্যবহার করা হয়েছিল লোডার
উভয়ের এক সপ্তাহ পর বুধবারের পোস্ট আসে মাইক্রোসফট এবং লুমেনের কালো লোটাস ল্যাবস রিপোর্ট করেছে যে সিক্রেট ব্লিজার্ড দক্ষিণ এশিয়ার লক্ষ্যবস্তুতে পিছনের দরজা ইনস্টল করতে এবং ইন্টেল সংগ্রহের জন্য স্টর্ম-0156 হিসাবে ট্র্যাক করা একটি পাকিস্তান-ভিত্তিক হুমকি গোষ্ঠীর সরঞ্জামগুলিকে কো-অপ্ট করেছিল। মাইক্রোসফ্ট প্রথম 2022 সালের শেষের দিকে কার্যকলাপটি পর্যবেক্ষণ করে। সব মিলিয়ে, মাইক্রোসফ্ট বলেছে, সিক্রেট ব্লিজার্ড গত সাত বছরে অন্তত ছয়টি অন্যান্য হুমকি গ্রুপের সরঞ্জাম এবং অবকাঠামো ব্যবহার করেছে।