CORNFLAKE.V3 ব্যাকডোর

হুমকিদাতারা ক্রমবর্ধমানভাবে ClickFix নামে পরিচিত একটি প্রতারণামূলক কৌশল ব্যবহার করে একটি অত্যাধুনিক ব্যাকডোর, CORNFLAKE.V3 বিতরণ করছে। UNC5518 নামক কার্যকলাপটি ট্র্যাক করা নিরাপত্তা গবেষকরা এটিকে একটি অ্যাক্সেস-অ্যাজ-এ-সার্ভিস অপারেশনের সাথে যুক্ত করেছেন যেখানে জাল CAPTCHA পৃষ্ঠাগুলি ক্ষতিগ্রস্থদের ক্ষতিকারক কমান্ড কার্যকর করতে প্রতারণা করে। একবার অ্যাক্সেস পেয়ে গেলে, আরও শোষণের জন্য এটি পুনরায় বিক্রি করা হয় বা অন্যান্য সাইবার অপরাধী গোষ্ঠীর সাথে ভাগ করা হয়।

আক্রমণ কিভাবে শুরু হয়

ব্যবহারকারীরা যখন SEO-বিষাক্ত অনুসন্ধান ফলাফল বা ক্ষতিকারক বিজ্ঞাপনের সাথে ইন্টারঅ্যাক্ট করে তখন প্রায়শই সংক্রমণের শৃঙ্খল শুরু হয়। ভুক্তভোগীদের একটি জাল CAPTCHA যাচাইকরণ পৃষ্ঠায় পুনঃনির্দেশিত করা হয়, যা Cloudflare-এর Turnstile বা অন্যান্য বৈধ পরিষেবার অনুরূপ ডিজাইন করা হয়েছে। তারা একটি যাচাইকরণ চ্যালেঞ্জ সমাধান করছে বলে বিশ্বাস করে, ব্যবহারকারীদের পরিবর্তে Windows Run ডায়ালগ বক্সে একটি ক্ষতিকারক PowerShell স্ক্রিপ্ট কপি এবং পেস্ট করার নির্দেশ দেওয়া হয়, যা আক্রমণকারীদের তাদের প্রয়োজনীয় অবস্থান প্রদান করে।

হুমকি অভিনেতার সম্পৃক্ততা

UNC5518 প্রচারাভিযান থেকে চুরি করা অ্যাক্সেস কমপক্ষে দুটি স্বতন্ত্র গোষ্ঠী দ্বারা ব্যবহৃত হয়েছে:

• UNC5774 – অতিরিক্ত পেলোড স্থাপনের জন্য কর্নফ্লেক সরবরাহকারী একটি আর্থিকভাবে অনুপ্রাণিত অভিনেতা।
• UNC4108 – অস্পষ্ট উদ্দেশ্য সহ একটি দল, যারা VOLTMARKER এবং NetSupport RAT এর মতো ম্যালওয়্যার ড্রপ করার জন্য PowerShell ব্যবহার করে পর্যবেক্ষণ করেছে।

এটি দেখায় যে কীভাবে ClickFix বিভিন্ন ধরণের ক্ষতিকারক ফলো-আপ কার্যকলাপের প্রবেশদ্বার হিসেবে কাজ করে।

কর্নফ্লেকের ভিতরে.V3

CORNFLAKE.V3 ব্যাকডোর জাভাস্ক্রিপ্ট এবং পিএইচপি উভয় ভেরিয়েন্টেই বিদ্যমান। এটি নিম্নলিখিত উদ্দেশ্যে ডিজাইন করা হয়েছে:

• HTTP এর মাধ্যমে বিভিন্ন পেলোড কার্যকর করুন, যার মধ্যে রয়েছে এক্সিকিউটেবল, DLL, জাভাস্ক্রিপ্ট, ব্যাচ ফাইল এবং পাওয়ারশেল কমান্ড।
• মৌলিক সিস্টেম ডেটা সংগ্রহ করুন এবং লুকানোর জন্য ক্লাউডফ্লেয়ার টানেলের মাধ্যমে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে পাঠান।

পূর্বসূরী V2 এর বিপরীতে, যা শুধুমাত্র ডাউনলোডার হিসেবে কাজ করত, V3 উইন্ডোজ রেজিস্ট্রি রান কী পরিবর্তন করে স্থায়িত্ব প্রবর্তন করে এবং বিস্তৃত পরিসরের পেলোড সমর্থন করে। এর মাধ্যমে কমপক্ষে তিনটি পেলোড বিতরণ করা হয়েছে, যার মধ্যে রয়েছে:

• একটি অ্যাক্টিভ ডিরেক্টরি রিকনেসান্স টুল
• শংসাপত্র চুরির জন্য একটি কার্বেরোস্টিং স্ক্রিপ্ট

WINDYTWIST.SEA, একটি C-ভিত্তিক ব্যাকডোর যার রিভার্স শেল অ্যাক্সেস, TCP ট্র্যাফিক রিলেইং এবং ল্যাটারাল মুভমেন্টের মতো ক্ষমতা রয়েছে।

ক্লিকফিক্স কেন বিপজ্জনক

ক্লিকফিক্স পদ্ধতিটি সাইবার অপরাধীদের মধ্যে জনপ্রিয়তা অর্জন করেছে কারণ এটি মানুষের মিথস্ক্রিয়ার উপর অনেক বেশি নির্ভর করে। ব্যবহারকারীরা অনেক স্বয়ংক্রিয় সুরক্ষা সরঞ্জামকে এড়িয়ে নিজেরাই কমান্ড চালানোর জন্য চালিত হয়। সাধারণ ডেলিভারি ভেক্টরগুলির মধ্যে রয়েছে:

• ফিশিং ইমেল
• ম্যালভার্টাইজিং প্রচারণা
• ড্রাইভ-বাই ওয়েবসাইটের আপস

বিশ্বাসযোগ্যতা বাড়ানোর জন্য, আক্রমণকারীরা প্রায়শই সুপরিচিত ব্র্যান্ড, ক্লাউডফ্লেয়ার চেক, এমনকি ডিসকর্ড সার্ভার যাচাইকরণের ছদ্মবেশ ধারণ করে।

ক্লিকফিক্স কিটগুলির বাণিজ্যিকীকরণ

২০২৪ সালের শেষের দিক থেকে, ক্লিকফিক্স নির্মাতারা 'উইন + আর' কিট নামে আন্ডারগ্রাউন্ড ফোরামে উপস্থিত হয়েছে। বৈশিষ্ট্যের উপর নির্ভর করে দাম সাধারণত প্রতি মাসে ২০০ ডলার থেকে ১,৫০০ ডলার পর্যন্ত হয়। সোর্স কোড, ল্যান্ডিং পেজ বা কমান্ড-লাইন স্ক্রিপ্টের মতো পৃথক উপাদানগুলি প্রায়শই আলাদাভাবে ২০০-৫০০ ডলারে বিক্রি হয়।

কিছু উন্নত কিট ClickFix বিল্ডারদের অন্যান্য ম্যালওয়্যার লোডারের সাথে একত্রিত করে এবং অফার করে:

• বিভিন্ন লোভ সহ তৈরি ল্যান্ডিং পৃষ্ঠা
• অ্যান্টিভাইরাস সনাক্তকরণ বাইপাস করার নিশ্চয়তাপ্রাপ্ত কমান্ড
• অধ্যবসায় এবং স্মার্টস্ক্রিন ফাঁকি দেওয়ার বিকল্পগুলি

প্রতিরক্ষামূলক ব্যবস্থা

ক্লিকফিক্স-ভিত্তিক সংক্রমণ মোকাবেলা করার জন্য, সংস্থাগুলির উচিত সক্রিয় প্রতিরক্ষা ব্যবস্থা গ্রহণ করা। প্রস্তাবিত পদক্ষেপগুলির মধ্যে রয়েছে:

• সম্ভব হলে উইন্ডোজ রান ডায়ালগ সীমাবদ্ধ বা নিষ্ক্রিয় করা।
• ব্যবহারকারীদের প্রশিক্ষণের জন্য নিয়মিত ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিং সিমুলেশন পরিচালনা করা।
• অস্বাভাবিক পাওয়ারশেল বা স্ক্রিপ্ট এক্সিকিউশন দ্রুত সনাক্ত করার জন্য শক্তিশালী লগিং এবং পর্যবেক্ষণ বাস্তবায়ন করা।

প্রতিরোধ এবং প্রাথমিক সনাক্তকরণ উভয়ের উপর মনোযোগ দিয়ে, সংস্থাগুলি ClickFix এবং CORNFLAKE.V3 জড়িত প্রচারণার ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করতে পারে।