DownEx Malware
ইনফোসেক গবেষকদের মতে, মধ্য এশিয়ার সরকারি সংস্থাগুলো লক্ষ্যবস্তু এবং জটিল গুপ্তচরবৃত্তির প্রচারণার কেন্দ্রবিন্দুতে পরিণত হয়েছে। এই অপারেশনটি ডাউনএক্স নামে একটি নতুন ধরণের ম্যালওয়্যার ব্যবহার করে, যা পূর্বে বিশেষজ্ঞদের কাছে অজানা ছিল। আক্রমণগুলি এখনও পর্যন্ত একটি নির্দিষ্ট এপিটি (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) বা সাইবার অপরাধী গোষ্ঠীকে দায়ী করা হয়নি, তবে প্রমাণগুলি রাশিয়া ভিত্তিক অভিনেতাদের জড়িত থাকার দিকে নির্দেশ করে।
ডাউনএক্স ম্যালওয়্যারের সাথে জড়িত প্রথম রিপোর্ট করা ঘটনাটি কাজাখস্তানে ঘটেছে, যেখানে 2022 সালের শেষের দিকে বিদেশী সরকারী প্রতিষ্ঠানের বিরুদ্ধে একটি উচ্চ লক্ষ্যবস্তু আক্রমণ করা হয়েছিল। পরবর্তীতে আফগানিস্তানে আরেকটি আক্রমণ পরিলক্ষিত হয়। শিকারদের প্রলুব্ধ করার জন্য একটি কূটনৈতিক থিম সহ একটি নথির ব্যবহার এবং সংবেদনশীল তথ্য সংগ্রহে আক্রমণকারীদের ফোকাস একটি রাষ্ট্র-স্পন্সর গোষ্ঠীর জড়িত থাকার দৃঢ়ভাবে ইঙ্গিত করে। তবে হ্যাকিং দলের পরিচয় এখনো নিশ্চিত করা যায়নি। অপারেশনটি এখনও চলছে, এবং আরও আক্রমণ ঘটতে পারে, বিটডিফেন্ডারের গবেষকরা সতর্ক করেছেন, যারা হুমকি এবং এর সাথে সম্পর্কিত আক্রমণ কার্যকলাপ সম্পর্কে একটি প্রতিবেদন প্রকাশ করেছেন।
DownEx Malware অ্যাটাক চেইন লুর মেসেজ দিয়ে শুরু হয়
সন্দেহ করা হয় যে গুপ্তচরবৃত্তি অভিযানের জন্য অনুপ্রবেশের প্রাথমিক উপায়ে একটি বর্শা-ফিশিং ইমেল জড়িত যা একটি হুমকিমূলক পেলোড বহন করে। উল্লিখিত পেলোডটি একটি মাইক্রোসফ্ট ওয়ার্ড নথি হিসাবে ছদ্মবেশে এক্সিকিউটেবল লোডার। একবার অ্যাটাচমেন্ট ওপেন হলে, দুটি ফাইল বের করা হয়, যার মধ্যে একটি জাল ডকুমেন্ট যা ভিকটিমকে ডিকয় হিসেবে দেখানো হয়। একই সাথে, VBScript কোড ধারণকারী একটি ক্ষতিকারক HTML অ্যাপ্লিকেশন (.HTA) ফাইল ব্যাকগ্রাউন্ডে চলে।
HTA ফাইলটি পরবর্তী পর্যায়ের পেলোড পাওয়ার জন্য একটি দূরবর্তী কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে যোগাযোগ স্থাপনের জন্য ডিজাইন করা হয়েছে। এই ম্যালওয়্যার টুলটির সঠিক প্রকৃতি এখনও প্রকাশ করা হয়নি, তবে এটি লঙ্ঘিত সিস্টেমে অধ্যবসায় প্রতিষ্ঠার জন্য একটি পিছনের দরজা বলে মনে করা হয়। এটি পরামর্শ দেয় যে প্রচারটি একটি অত্যন্ত সংগঠিত এবং পরিশীলিত হুমকি অভিনেতা দ্বারা পরিচালিত হচ্ছে, সম্ভবত একটি রাষ্ট্র-স্পন্সর করা গ্রুপ, বিদেশী সরকারী প্রতিষ্ঠান থেকে তথ্য উত্তোলনের উপর ফোকাস করে।
DownEx ম্যালওয়্যারের পাশাপাশি অতিরিক্ত হুমকির সরঞ্জামগুলি স্থাপন করা হয়েছে৷
ডাউনএক্স ম্যালওয়্যারের দুটি ভিন্ন সংস্করণ পর্যবেক্ষণ করা হয়েছে। প্রথম বৈকল্পিকটি একটি মধ্যবর্তী ভিবিএসস্ক্রিপ্ট ব্যবহার করে ফাইল সংগ্রহ এবং একটি জিপ সংরক্ষণাগার আকারে একটি দূরবর্তী সার্ভারে পাঠাতে। দ্বিতীয় সংস্করণটি slmgr.vibe নামক একটি VBE স্ক্রিপ্টের মাধ্যমে ডাউনলোড করা হয় এবং C++ এর পরিবর্তে VBScript ব্যবহার করে। বিভিন্ন প্রোগ্রামিং ভাষা থাকা সত্ত্বেও, দ্বিতীয় সংস্করণটি প্রথমটির মতো একই দূষিত ক্ষমতা বজায় রাখে।
দ্বিতীয় ডাউনএক্স ম্যালওয়্যার ভেরিয়েন্ট একটি ফাইলবিহীন আক্রমণ কৌশল নিযুক্ত করে। এর মানে হল যে DownEx স্ক্রিপ্ট শুধুমাত্র মেমরিতে কার্যকর করা হয় এবং সংক্রামিত ডিভাইসের ডিস্ককে স্পর্শ করে না। এই কৌশলটি আধুনিক সাইবার আক্রমণের ক্রমবর্ধমান পরিশীলিততাকে তুলে ধরে এবং দেখায় যে সাইবার অপরাধীরা তাদের আক্রমণগুলিকে আরও কার্যকর এবং সনাক্ত করা কঠিন করার জন্য নতুন পদ্ধতি বিকাশ করছে।
