ব্ল্যাকমুন ব্যাংকিং ট্রোজান

সাইবার নিরাপত্তা বিশ্লেষকরা ভারতীয় ব্যক্তি এবং সংস্থাগুলিকে লক্ষ্য করে একটি সক্রিয় বহু-পর্যায়ের অনুপ্রবেশ অভিযান আবিষ্কার করেছেন। এই অভিযানটি সাইবার-গুপ্তচরবৃত্তির প্রকৃতির বলে মনে হচ্ছে এবং দীর্ঘমেয়াদী, গোপন সিস্টেমে অ্যাক্সেস পেতে একটি স্তরযুক্ত ব্যাকডোর কাঠামোর উপর নির্ভর করে।

প্রাথমিক সংক্রমণ বাহক হিসেবে ফিশিং

এই অভিযান শুরু হয় ভারতের আয়কর বিভাগের অফিসিয়াল চিঠিপত্রের ছদ্মবেশে ফিশিং ইমেল দিয়ে। এই বার্তাগুলি প্রাপকদের কর জরিমানা নোটিশের ভান করে একটি জিপ আর্কাইভ ডাউনলোড করতে প্রলুব্ধ করে। একবার খোলা হলে, আর্কাইভটি সংক্রমণ শৃঙ্খল শুরু করে যা অবশেষে ক্রমাগত পর্যবেক্ষণ এবং ডেটা চুরি সক্ষম করে।

অস্ত্রযুক্ত আর্কাইভ এবং গোপনে মৃত্যুদণ্ড কার্যকর করা

ডেলিভার করা জিপ ফাইলটিতে পাঁচটি উপাদান রয়েছে, 'Inspection Document Review.exe' নামক একটি ডিকয় এক্সিকিউটেবল ছাড়া সবগুলি লুকানো আছে। এই ফাইলটি আর্কাইভে এমবেড করা একটি ক্ষতিকারক ডায়নামিক-লিঙ্ক লাইব্রেরি সাইডলোড করার জন্য অপব্যবহার করা হয়েছে। দুর্বৃত্ত DLL ডিবাগার-ইভেশন চেক করে এবং পরবর্তী পর্যায়ের পেলোড পুনরুদ্ধার করার জন্য একটি রিমোট কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে।

বিশেষাধিকার বৃদ্ধি এবং প্রক্রিয়া মাস্কেরেডিং

ডাউনলোড করা শেলকোডটি ব্যবহারকারী অ্যাকাউন্ট নিয়ন্ত্রণ (UAC) বাইপাস করার জন্য একটি COM-ভিত্তিক কৌশল ব্যবহার করে, উন্নত সুবিধা প্রদান করে। এরপর এটি বৈধ Windows explorer.exe প্রক্রিয়ার ছদ্মবেশে নিজস্ব প্রসেস এনভায়রনমেন্ট ব্লক (PEB) পরিবর্তন করে, যা নিরাপত্তা সরঞ্জাম এবং বিশ্লেষকদের দ্বারা সনাক্তকরণের সম্ভাবনা হ্রাস করে।

অভিযোজিত পেলোড ডেলিভারি

পরবর্তী ধাপ, '180.exe', eaxwwyr[.]cn ডোমেইন থেকে আনা হয়। এই ফাইলটি একটি 32-বিট ইনো সেটআপ ইনস্টলার যা সংক্রামিত হোস্টে নির্দিষ্ট সুরক্ষা সফ্টওয়্যার উপস্থিত আছে কিনা তার উপর নির্ভর করে এর এক্সিকিউশন প্রবাহ পরিবর্তন করে, ম্যালওয়্যারটিকে তার ফাঁকি দেওয়ার কৌশলগুলিকে গতিশীলভাবে সামঞ্জস্য করতে দেয়।

নিরাপত্তা সফটওয়্যার ফাঁকি এবং ব্ল্যাকমুন সংযোগ

যখন প্রতিরক্ষামূলক সফ্টওয়্যার সনাক্ত করা হয়, তখন ম্যালওয়্যারটি সরাসরি নিষ্ক্রিয়করণ এড়ায়। পরিবর্তে, এটি নিরাপত্তা ইন্টারফেস নেভিগেট করার জন্য মাউসের নড়াচড়ার অনুকরণ করে এবং চুপচাপ বর্জন তালিকায় ক্ষতিকারক উপাদান যুক্ত করে। এই কার্যকলাপটি ব্ল্যাকমুন (KRBanker) ম্যালওয়্যার পরিবারের একটি রূপ হিসাবে মূল্যায়ন করা একটি DLL দ্বারা সহজতর করা হয়, যা ঐতিহাসিকভাবে 2015 সালে আবির্ভূত হওয়ার পর থেকে দক্ষিণ কোরিয়া, মার্কিন যুক্তরাষ্ট্র এবং কানাডার ব্যবসার উপর আক্রমণের সাথে যুক্ত।

একটি বৈধ এন্টারপ্রাইজ টুলের অপব্যবহার

বাদ দেওয়া তালিকায় যুক্ত হওয়া ফাইলগুলির মধ্যে একটি হল 'Setup.exe', যা SyncFutureTec Company Limited-এর একটি বৈধ ইউটিলিটি। এই প্রোগ্রামটি 'mysetup.exe' বাদ দেয়, যা SyncFuture TSM (টার্মিনাল সিকিউরিটি ম্যানেজমেন্ট) নামে পরিচিত, এটি একটি বাণিজ্যিক রিমোট মনিটরিং এবং ম্যানেজমেন্ট সলিউশন যা Nanjing Zhongke Huasai Technology Co., Ltd দ্বারা তৈরি করা হয়েছে। যদিও এন্টারপ্রাইজ প্রশাসনের জন্য ডিজাইন করা হয়েছে, এটি এই প্রচারণায় একটি ব্যাপক গুপ্তচরবৃত্তি প্ল্যাটফর্ম হিসাবে পুনরুজ্জীবিত করা হয়েছে।

সহায়ক উপাদান এবং সিস্টেম ম্যানিপুলেশন

স্থাপনের পর, পরিবেশ প্রস্তুত এবং নিয়ন্ত্রণের জন্য অতিরিক্ত উপাদান স্থাপন করা হয়:

• ব্যাচ স্ক্রিপ্ট যা কাস্টম ডিরেক্টরি তৈরি করে, অ্যাক্সেস নিয়ন্ত্রণ তালিকা পরিবর্তন করে, ডেস্কটপ অনুমতি পরিবর্তন করে এবং পরিষ্কার ও পুনরুদ্ধারের কাজ সম্পাদন করে।
• একটি অর্কেস্ট্রেটর এক্সিকিউটেবল, 'MANC.exe', যা পরিষেবাগুলির সমন্বয় সাধন করে এবং ব্যাপক কার্যকলাপ লগিং সক্ষম করে।

অপারেশনাল প্রভাব এবং কৌশলগত তাৎপর্য

কাস্টম ম্যালওয়্যারের পাশাপাশি একটি বৈধ এন্টারপ্রাইজ টুলের অপব্যবহার করে, অপারেটররা সংক্রামিত এন্ডপয়েন্টের উপর রিমোট কন্ট্রোল, ব্যবহারকারীর কার্যকলাপে ক্রমাগত দৃশ্যমানতা এবং সংবেদনশীল ডেটা এক্সফিল্ট্রেশনের জন্য একটি কেন্দ্রীভূত প্রক্রিয়া অর্জন করে। DLL সাইডলোডিং, বিশেষাধিকার বৃদ্ধি, বাণিজ্যিক-টুল পুনঃপ্রয়োগ, বিশ্লেষণ-বিরোধী ব্যবস্থা এবং সুরক্ষা-সফ্টওয়্যার ফাঁকির সমন্বিত ব্যবহার উচ্চ মাত্রার প্রযুক্তিগত পরিপক্কতা এবং আপোস করা সিস্টেমের উপর অবিরাম, সূক্ষ্ম নিয়ন্ত্রণ বজায় রাখার স্পষ্ট অভিপ্রায় প্রতিফলিত করে।