BEARDSHELL Malware

ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) রাশিয়ার সাথে যুক্ত এবং UAC-0001 নামে পরিচিত একটি হুমকি গোষ্ঠী APT28 দ্বারা পরিচালিত একটি নতুন সাইবার আক্রমণ অভিযান সম্পর্কে একটি সতর্কতা জারি করেছে। এই অভিযানটি BEARDSHELL এবং COVENANT নামে ট্র্যাক করা দুটি নতুন চিহ্নিত ম্যালওয়্যার পরিবার সরবরাহ করার জন্য সিগন্যাল চ্যাট বার্তা ব্যবহার করে, যা গ্রুপের কৌশলগুলিতে একটি উল্লেখযোগ্য বিবর্তন চিহ্নিত করে।

বিয়ার্ডশেল এবং স্লিম্যাজেন্ট: একটি বিপজ্জনক জুটি

C++ এ তৈরি BEARDSHELL, প্রথম সনাক্ত করা হয়েছিল মার্চ থেকে এপ্রিল ২০২৪ এর মধ্যে, SLIMAGENT নামক একটি স্ক্রিনশট-ক্যাপচারিং টুলের সাথে একটি উইন্ডোজ সিস্টেমে স্থাপন করা হয়েছিল। BEARDSHELL এর ক্ষমতার মধ্যে রয়েছে PowerShell স্ক্রিপ্টগুলি কার্যকর করা এবং Icedrive API ব্যবহার করে একটি দূরবর্তী সার্ভারে ফলাফল আপলোড করা।

প্রাথমিক সনাক্তকরণের সময়, CERT-UA কীভাবে ম্যালওয়্যারটি সিস্টেমে অনুপ্রবেশ করেছে সে সম্পর্কে স্পষ্টতার অভাব ছিল। তবে, 'gov.ua' ইমেল অ্যাকাউন্টে অননুমোদিত অ্যাক্সেসের মাধ্যমে সাম্প্রতিক অনুসন্ধানগুলি 2024 সালের ঘটনায় ব্যবহৃত প্রাথমিক আক্রমণ ভেক্টরটি প্রকাশ করেছে। এই গভীর তদন্তে BEARDSHELL এবং COVENANT নামে পরিচিত একটি ম্যালওয়্যার ফ্রেমওয়ার্ক উভয়েরই মোতায়েনের বিষয়টি নিশ্চিত করা হয়েছে।

সংক্রমণ শৃঙ্খল: ম্যাক্রো-লেসড ডকুমেন্টস এবং ডিএলএল পেলোড

আক্রমণটি শুরু হয় 'Акт.doc' শিরোনামের একটি ক্ষতিকারক মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্ট সম্বলিত একটি সিগন্যাল বার্তা দিয়ে। এই ডকুমেন্টে একটি এমবেডেড ম্যাক্রো রয়েছে যা একবার সক্রিয় হয়ে গেলে দুটি উপাদান সরবরাহ করে:

• একটি ক্ষতিকারক DLL: ctec.dll
• একটি ছদ্মবেশী PNG ছবি: windows.png

এরপর ম্যাক্রো উইন্ডোজ রেজিস্ট্রিতে পরিবর্তন আনে যাতে explorer.exe চালু হওয়ার সময় DLL চালু থাকে। এই DLL PNG ছবিতে লুকানো শেলকোড পড়ে এবং COVENANT ম্যালওয়্যার ফ্রেমওয়ার্ক ট্রিগার করে, যা মেমরিতে থাকে।

সক্রিয়করণের পর, COVENANT দুটি মধ্যবর্তী পেলোড ডাউনলোড এবং কার্যকর করে যা শেষ পর্যন্ত BEARDSHELL ব্যাকডোর ইনস্টল করে, সংক্রামিত সিস্টেমের উপর স্থায়ী নিয়ন্ত্রণ প্রদান করে।

চুক্তি: কার্যকরী অত্যাধুনিক ম্যালওয়্যার ফ্রেমওয়ার্ক

এই অপারেশনে COVENANT ফ্রেমওয়ার্ক একটি কেন্দ্রীয় ভূমিকা পালন করে, অতিরিক্ত ম্যালওয়্যারের জন্য এক্সিকিউশন হাব হিসেবে কাজ করে। এর মডুলার ডিজাইন পেলোডের নমনীয় স্থাপনার অনুমতি দেয়, এই ক্ষেত্রে সরাসরি BEARDSHELL এর এক্সিকিউশনের দিকে পরিচালিত করে। এই মেমোরি-রেসিডেন্ট ফ্রেমওয়ার্কটি ঐতিহ্যবাহী সনাক্তকরণ প্রক্রিয়া এড়িয়ে যায়, যা লক্ষ্যবস্তু পরিবেশের জন্য এটিকে বিশেষভাবে বিপজ্জনক করে তোলে।

পর্যবেক্ষণ এবং প্রশমনের সুপারিশমালা

এই প্রচারণার সংস্পর্শ কমাতে, CERT-UA সরকার এবং এন্টারপ্রাইজ নেটওয়ার্কগুলিকে নিম্নলিখিত ডোমেনগুলির সাথে সম্পর্কিত ট্র্যাফিক পর্যবেক্ষণ করার পরামর্শ দেয়:

• app.koofr.net সম্পর্কে
• api.icedrive.net সম্পর্কে

এই ডোমেনগুলির সাথে বহির্গামী সংযোগ সম্পর্কে সতর্ক থাকা আপোষের প্রাথমিক লক্ষণগুলি সনাক্ত করতে সহায়তা করতে পারে।

উপসংহার: স্থায়ী এবং বিকশিত হুমকি

APT28 তার আক্রমণ কৌশলগুলিকে আরও উন্নত করে চলেছে, সিগন্যালের মতো আধুনিক মেসেজিং প্ল্যাটফর্মগুলিকে অন্তর্ভুক্ত করে এবং সেগুলিকে লিগ্যাসি সিস্টেম দুর্বলতার সাথে একত্রিত করে। এই দ্বৈত-মুখী পদ্ধতি, নতুন বিকশিত ম্যালওয়্যার এবং পরিচিত শোষণ উভয়ই ব্যবহার করে, গ্রুপের অধ্যবসায় এবং স্তরযুক্ত সাইবার নিরাপত্তা প্রতিরক্ষার গুরুত্বকে তুলে ধরে। সংস্থাগুলিকে, বিশেষ করে সরকারি সংস্থাগুলিকে, সতর্ক থাকতে হবে এবং আপোষের সূচকগুলির জন্য সক্রিয়ভাবে নেটওয়ার্ক ট্র্যাফিক পর্যবেক্ষণ করতে হবে।