Atroposia RAT
অ্যাট্রোপোসিয়া হলো একটি বাণিজ্যিকভাবে ব্যবসা করা রিমোট অ্যাক্সেস ট্রোজান (RAT) যা আন্ডারগ্রাউন্ড ফোরামে বাজারজাত করা হয়। এটি তার অপারেটরদেরকে ক্ষতিগ্রস্ত মেশিনের উপর গভীর, গোপন নিয়ন্ত্রণ এবং ডেটা চুরি, নেটওয়ার্ক আচরণে হেরফের এবং আরও দুর্বলতা অনুসন্ধানের জন্য একটি সমৃদ্ধ টুলকিট প্রদান করে। এর বিস্তৃত ক্ষমতা এবং ফাঁকি দেওয়ার বৈশিষ্ট্যের কারণে, কোনও ডিভাইসে অ্যাট্রোপোসিয়ার উপস্থিতি নিশ্চিত হলে তা অবিলম্বে অপসারণ করা প্রয়োজন।
ম্যালওয়্যার হুমকিটি সম্ভাব্য 'গ্রাহকদের' তিনটি পেমেন্ট স্তরে দেওয়া হচ্ছে:
মাসিক ভাড়া: ২০০ ডলার
ত্রৈমাসিক: $৫০০ (তিন মাস)
অর্ধ-বার্ষিক: $900 (ছয় মাস)
সুচিপত্র
গোপনতা, অধ্যবসায়, এবং কমান্ড চ্যানেল
অ্যাট্রোপোসিয়া লুকিয়ে থাকার জন্য তৈরি। এটি স্বয়ংক্রিয়ভাবে সুবিধাগুলি (UAC বাইপাস) বৃদ্ধি করতে পারে, রিবুট থেকে বেঁচে থাকার জন্য একাধিক স্থায়িত্ব কৌশল ব্যবহার করে এবং অ্যান্টিভাইরাস সনাক্তকরণ এড়াতে ডিজাইন করা হয়েছে। অপারেটর কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে এর যোগাযোগ এনক্রিপ্ট করা হয় এবং একটি ওয়েব-স্টাইল কন্ট্রোল প্যানেল এমনকি মাঝারি দক্ষ অপরাধীদের জন্যও দূষিত কাজগুলি সম্পাদনকে সহজ করে তোলে।
লুকানো রিমোট কন্ট্রোল এবং ফাইল হ্যান্ডলিং
একটি স্বাক্ষর বৈশিষ্ট্য হল একটি গোপন দূরবর্তী ডেস্কটপ উপাদান ('HRDP Connect' নামে বাজারজাত করা হয়) যা ভিকটিম মেশিনে একটি অদৃশ্য সেশন খোলে যাতে একজন দূরবর্তী অভিনেতা ব্যবহারকারীর কাছে দৃশ্যমান লক্ষণ ছাড়াই ডেস্কটপের সাথে যোগাযোগ করতে পারে। এর পরিপূরক হিসেবে, Atroposia-তে একটি ফাইল ম্যানেজার রয়েছে যা আক্রমণকারীদের ড্রাইভ এবং ফোল্ডার ব্রাউজ করতে, ফাইল অনুসন্ধান করতে, ডাউনলোড করতে, মুছে ফেলতে বা দূরবর্তীভাবে কার্যকর করতে দেয়।
ব্যাপক সংগ্রহ এবং গোপন প্যাকেজিং
RAT-তে একটি গ্র্যাবার থাকে যা এক্সটেনশন বা কীওয়ার্ড দ্বারা ফাইল অনুসন্ধান করে এবং একটি পাসওয়ার্ড-সুরক্ষিত জিপে ম্যাচগুলিকে একত্রিত করে। এটি সম্পূর্ণরূপে মেমরিতে ডেটা একত্রিত এবং প্যাকেজ করতে পারে অথবা বিল্ট-ইন সিস্টেম ইউটিলিটিগুলির উপর নির্ভর করতে পারে, ডিস্কে অবশিষ্ট আর্টিফ্যাক্টগুলিকে কমিয়ে দেয় এবং ফরেনসিক সনাক্তকরণকে জটিল করে তোলে।
শংসাপত্র এবং মানিব্যাগ চুরির ক্ষমতা
অ্যাট্রোপোসিয়ার স্টিলার মডিউল বিভিন্ন ধরণের সংবেদনশীল উপাদান সংগ্রহ করে: সংরক্ষিত ব্রাউজারের পাসওয়ার্ড, ব্যবসায়িক অ্যাপ্লিকেশন এবং ভিপিএন ক্লায়েন্ট থেকে শংসাপত্র, মেসেজিং প্রোগ্রাম থেকে ডেটা, যেখানে পাওয়া যায় পাসওয়ার্ড ম্যানেজার ডেটা এবং ক্রিপ্টোকারেন্সি ওয়ালেট তথ্য। এটি ক্লিপবোর্ডের সামগ্রী (ব্যবহারকারীর অনুলিপি বা কাট করা যেকোনো কিছু), লগ ক্যাপচার করে এবং সেই এন্ট্রিগুলি সংরক্ষণ করে। এটি কপি করা ওয়ালেট ঠিকানা বা শংসাপত্রগুলি প্রতিস্থাপন করার জন্য ক্লিপবোর্ডের সামগ্রীগুলিকে ওভাররাইট করতে পারে - এটি তহবিল চুরি বা অ্যাকাউন্ট হাইজ্যাক করার জন্য কার্যকর একটি কৌশল।
নেটওয়ার্ক ম্যানিপুলেশন এবং ডিএনএস হাইজ্যাকিং
এই ম্যালওয়্যারটি DNS সেটিংস পরিবর্তন করতে পারে অথবা অন্যথায় নাম অনুসন্ধান আটকাতে পারে যাতে একজন ভুক্তভোগীর ব্রাউজার নীরবে আক্রমণকারী-নিয়ন্ত্রিত প্রতারক সাইটগুলিতে পুনঃনির্দেশিত হয় (উদাহরণস্বরূপ, জাল লগইন পৃষ্ঠা)। যেহেতু ব্রাউজারটি এখনও প্রত্যাশিত URL প্রদর্শন করতে পারে, তাই ভুক্তভোগীদের প্রতারণা করে শংসাপত্র প্রবেশ করানো যেতে পারে যখন তারা মনে করে যে তারা একটি বৈধ সাইটে আছেন।
দুর্বলতা স্ক্যানিং এবং বৃদ্ধির সুযোগ
অ্যাট্রোপোসিয়াতে একটি স্ক্যানার রয়েছে যা সংক্রামিত হোস্টকে অনুপস্থিত প্যাচ, দুর্বল কনফিগারেশন এবং পুরানো সফ্টওয়্যার পরীক্ষা করে। এন্টারপ্রাইজ পরিবেশে, এটি উচ্চ-মূল্যের লক্ষ্যগুলি প্রকাশ করতে পারে - আনপ্যাচড ভিপিএন ক্লায়েন্ট, বিশেষাধিকার বৃদ্ধি বাগ, বা অন্যান্য এক্সপোজার - যা আক্রমণকারীরা নেটওয়ার্ক জুড়ে অ্যাক্সেস প্রসারিত করার জন্য কাজে লাগায়।
সিস্টেম টেলিমেট্রি এবং রিমোট কন্ট্রোল ইউটিলিটি
ডেটা চুরি এবং রিমোট ডেস্কটপের বাইরেও, RAT সিস্টেম মেটাডেটা (IP ঠিকানা, OS সংস্করণ, ভূ-অবস্থান এবং অন্যান্য পরিবেশগত বিবরণ) সংগ্রহ করে, চলমান প্রক্রিয়াগুলি তালিকাভুক্ত এবং পরিচালনা করতে পারে এবং রিমোট শাটডাউন এবং রিবুট অপারেশনগুলিকে সমর্থন করে। টুলকিটে অতিরিক্ত, কম-প্রভাবযুক্ত ইউটিলিটিগুলিও অন্তর্ভুক্ত রয়েছে যা একসাথে বিস্তৃত অপারেশনাল নমনীয়তা প্রদান করে।
সংক্রমণ সাধারণত কীভাবে ঘটে
ক্ষতিকারক বা অস্ত্রযুক্ত নথি (উদাহরণস্বরূপ, সংক্রামিত PDF বা ই-মেইলের মাধ্যমে বিতরণ করা অন্যান্য সংযুক্তি)
সফটওয়্যার পাইরেসি প্যাকেজ, ড্রাইভ-বাই শোষণ, দুর্বৃত্ত বিজ্ঞাপন, জাল প্রযুক্তিগত সহায়তা স্কিম, P2P/শেয়ার করা ফাইল, প্রতারণামূলক ডাউনলোড সাইট, তৃতীয় পক্ষের ইনস্টলার এবং অনুরূপ চ্যানেল
কেন এই ডেলিভারি পদ্ধতিগুলি সফল হয়: আক্রমণকারীরা সোশ্যাল ইঞ্জিনিয়ারিং (জাল নথি, প্রলোভনসঙ্কুল ডাউনলোড, বা ফাইল চালানোর অনুরোধ) অথবা দুর্বলতা এবং প্রতারণামূলক ইনস্টলারের অপব্যবহারের উপর নির্ভর করে - বেশিরভাগ সংক্রমণ তখন ঘটে যখন একজন ব্যবহারকারীকে ম্যালওয়্যার চালানোর জন্য প্রতারিত করা হয়।
প্রভাবের সারাংশ
অ্যাট্রোপোসিয়া ব্যাপক ডেটা এক্সফিল্ট্রেশন (ফাইল, ক্রেডেনশিয়াল, ক্লিপবোর্ড ডেটা, ক্রিপ্টো ওয়ালেট), গোপন রিমোট কন্ট্রোল, ডিএনএস টেম্পারিংয়ের মাধ্যমে নেটওয়ার্ক পুনঃনির্দেশনা এবং আরও শোষণের জন্য পুনরুদ্ধার সক্ষম করে। এর গোপন স্থাপত্য (বিশেষাধিকার বৃদ্ধি, স্থায়িত্ব, ইন-মেমরি প্যাকেজিং, এনক্রিপ্ট করা C2 এবং লুকানো রিমোট সেশন) এটিকে ব্যক্তি এবং প্রতিষ্ঠান উভয়ের জন্যই বিশেষভাবে বিপজ্জনক করে তোলে।
তাৎক্ষণিক প্রতিক্রিয়া
যদি কোনও সিস্টেমে অ্যাট্রোপোসিয়া সন্দেহ করা হয় বা সনাক্ত করা হয়, তাহলে নেটওয়ার্ক থেকে ডিভাইসটি সংযোগ বিচ্ছিন্ন করুন, সম্ভব হলে বিশ্লেষণের জন্য লগ সংরক্ষণ করুন এবং যত তাড়াতাড়ি সম্ভব ম্যালওয়্যারটি সরিয়ে ফেলুন। যেহেতু অপারেটররা সংগ্রহ করা শংসাপত্র এবং পার্শ্বীয় রুট ব্যবহার করতে পারে, তাই যেকোনো আপসকে সম্ভাব্য ব্যাপক হিসাবে বিবেচনা করুন এবং পাসওয়ার্ড ঘোরানো, টোকেন প্রত্যাহার করা এবং একটি বিস্তৃত অভ্যন্তরীণ তদন্ত করার কথা বিবেচনা করুন।
