AK47 C2 ফ্রেমওয়ার্ক
সম্প্রতি আবিষ্কৃত এক হুমকিদাতা, যার নাম Storm-2603, মাইক্রোসফট শেয়ারপয়েন্ট সার্ভারের পরিচিত নিরাপত্তা দুর্বলতাগুলি কাজে লাগানোর সাথে যুক্ত বলে জানা গেছে। এই গোষ্ঠীটি চীনের বাইরে কাজ করে বলে সন্দেহ করা হচ্ছে এবং তাদের আক্রমণ পরিচালনার জন্য AK47 C2 (ak47c2 নামেও স্টাইলাইজড) নামে একটি কাস্টম কমান্ড-এন্ড-কন্ট্রোল (C2) কাঠামো ব্যবহার করে।
AK47 C2 প্ল্যাটফর্ম দুটি প্রাথমিক যোগাযোগ পদ্ধতি ব্যবহার করে: AK47HTTP (C2 যোগাযোগের জন্য HTTP প্রোটোকল ব্যবহার করে) এবং AK47DNS (গোপন কমান্ড ডেলিভারির জন্য DNS প্রোটোকল ব্যবহার করে)।
এই উপাদানগুলি ম্যালওয়্যারকে HTTP বা DNS সার্ভারের প্রতিক্রিয়া থেকে পার্স করা ডেটার উপর ভিত্তি করে cmd.exe এর মাধ্যমে সংক্রামিত সিস্টেমে কমান্ড গ্রহণ এবং কার্যকর করতে সহায়তা করে।
সুচিপত্র
সর্বাধিক প্রভাবের জন্য মাইক্রোসফটের ত্রুটিগুলি কাজে লাগানো
Storm-2603 শেয়ারপয়েন্টের দুর্বলতা CVE-2025-49706 এবং CVE-2025-49704 (যা টুলশেল নামেও পরিচিত) কে অস্ত্র হিসেবে ব্যবহার করেছে নেটওয়ার্ক লঙ্ঘন এবং ক্ষতিকারক পেলোড স্থাপন করার জন্য। এর মধ্যে প্রধান হল র্যানসমওয়্যার পরিবার যেমন Warlock (ওরফে X2anylock) এবং LockBit Black, যা মূলধারার ই-ক্রাইম অপারেটরদের মধ্যে সাধারণত দেখা যায় না এমন একটি অস্বাভাবিক সমন্বয়।
একটি গুরুত্বপূর্ণ প্রযুক্তিগত সূচকে, AK47 C2 স্যুটের অংশ, dnsclient.exe নামের একটি ব্যাকডোর, একটি জাল ডোমেনের সাথে DNS-ভিত্তিক যোগাযোগ ব্যবহার করে:
update.updatemicfosoft.com, সনাক্তকরণ এড়াতে একটি মাইক্রোসফ্ট আপডেট সার্ভারের অনুকরণ করছে।
হাইব্রিড আর্সেনাল: ওপেন-সোর্স কাস্টম পেলোড পূরণ করে
Storm-2603 এর টুলকিটটি বৈধ সফ্টওয়্যার এবং ক্ষতিকারক বর্ধনের মিশ্রণ প্রদর্শন করে, যার মধ্যে রয়েছে:
সাধারণত ব্যবহৃত ইউটিলিটি:
- ম্যাসক্যান - পোর্ট স্ক্যানিং এবং রিকনেসান্সের জন্য।
- WinPcap – নেটওয়ার্ক প্যাকেট ক্যাপচার টুল।
- SharpHostInfo – হোস্ট-ভিত্তিক তথ্য সংগ্রহ করে।
- nxc এবং PsExec – রিমোট কমান্ড এক্সিকিউশন টুল।
ক্ষতিকারক সংযোজন:
- 7z.exe এবং 7z.dll: বৈধ 7-জিপ বাইনারিগুলিকে ব্যবহার করে একটি DLL সাইডলোড করা হয় যা ওয়ারলক র্যানসমওয়্যার সরবরাহ করে।
- bbb.msi: একটি ইনস্টলার যা clink_dll_x86.dll কে clink_x86.exe এর মাধ্যমে সাইডলোড করে, যার ফলে শেষ পর্যন্ত LockBit Black স্থাপন করা হয়।
এই সরঞ্জামগুলি BYOVD (Bring Your Own Vulnerable Driver) কৌশলগুলির সাথে একত্রে ব্যবহার করা হয় যাতে DLL সাইডলোডিং কৌশলের সাথে এন্ডপয়েন্ট প্রতিরক্ষা নিরপেক্ষ করা যায়, যা সনাক্তকরণ এবং প্রতিক্রিয়াকে আরও জটিল করে তোলে।
ভৌগোলিক নাগাল এবং ছায়াময় উদ্দেশ্য
প্রমাণ থেকে জানা যায় যে Storm-2603 কমপক্ষে ২০২৫ সালের মার্চ মাস থেকে সক্রিয়, ল্যাটিন আমেরিকা এবং এশিয়া-প্যাসিফিক (APAC) অঞ্চল জুড়ে বিভিন্ন সত্তাকে লক্ষ্য করে। র্যানসমওয়্যার পরিবারগুলিকে একত্রিত করার এবং বিভিন্ন ভৌগোলিক ক্ষেত্রকে লক্ষ্য করে এই গোষ্ঠীর কৌশল তাদের চূড়ান্ত লক্ষ্য নিয়ে প্রশ্ন তুলেছে।
যদিও তাদের উদ্দেশ্য এখনও অস্পষ্ট, অন্যান্য জাতি-রাষ্ট্রীয় অভিনেতাদের (বিশেষ করে চীন, ইরান এবং উত্তর কোরিয়া থেকে) সাথে সাদৃশ্য যারা ভূ-রাজনৈতিক কার্যক্রমে র্যানসমওয়্যার ব্যবহার করেছে, তাদের ইঙ্গিত দেয় যে Storm-2603 গুপ্তচরবৃত্তি এবং আর্থিকভাবে অনুপ্রাণিত অপরাধের মধ্যে সীমারেখা তৈরি করতে পারে।
এপিটি-অপরাধী জোট: একটি ক্রমবর্ধমান উদ্বেগ
Storm-2603 হাইব্রিড হুমকির ক্রমবর্ধমান প্রবণতার উদাহরণ, যারা ঐতিহ্যবাহী অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (APT) কৌশলগুলিকে র্যানসমওয়্যার অপারেশনের সাথে মিশ্রিত করে। উল্লেখযোগ্য কৌশলগুলির মধ্যে রয়েছে:
কৌশলগত হাইলাইটস:
- একাধিক র্যানসমওয়্যার স্ট্রেন সরবরাহ করতে DLL হাইজ্যাকিংয়ের ব্যবহার।
- BYOVD এন্ডপয়েন্ট সুরক্ষা সরঞ্জামগুলি ভেঙে ফেলবে।
- স্টিলথ এবং স্কেলেবিলিটির জন্য ওপেন-সোর্স টুলের উপর নির্ভরতা।
ওয়েব শেল (যেমন spinstall0.aspx) হোস্ট করার জন্য এবং C2 যোগাযোগ সহজতর করার জন্য গ্রুপটির একই অবকাঠামোর ব্যবহার আধুনিক যুগের সাইবার আক্রমণের ক্রমবর্ধমান পরিশীলিততার উপর জোর দেয়।
Storm-2603-এর কার্যক্রম সাইবার অপরাধের ক্ষেত্রে এক বিপজ্জনক বিবর্তন প্রকাশ করে, যেখানে রাষ্ট্র-স্পন্সরিত গুপ্তচরবৃত্তি এবং লাভ-চালিত ম্যালওয়্যার প্রচারণার মধ্যে অস্পষ্ট রেখা অ্যাট্রিবিউশন, প্রতিরক্ষা এবং প্রতিক্রিয়া উল্লেখযোগ্যভাবে জটিল করে তোলে।
