ডিসগোমোজি ম্যালওয়্যার

2024 সালে ভারতীয় সরকারী সংস্থাগুলিকে লক্ষ্য করে একটি সাইবার গুপ্তচরবৃত্তির প্রচারণা পাকিস্তানে অবস্থিত একজন সন্দেহভাজন হুমকি অভিনেতাকে দায়ী করা হয়েছে। নিরাপত্তা বিশেষজ্ঞরা UTA0137 হিসাবে চিহ্নিত এই প্রচারাভিযান পর্যবেক্ষণ করছেন, যা DISGOMOJI নামে একটি অনন্য ম্যালওয়্যার নিয়োগ করে৷ গোলং-এ লেখা এই ম্যালওয়্যারটি বিশেষভাবে লিনাক্স সিস্টেমকে লক্ষ্য করে।

ডিসগোমোজি বৈধ ডিসকর্ড প্ল্যাটফর্ম ব্যবহার করে

ডিসগোমোজি হল পাবলিক ডিসকর্ড-সি2 প্রকল্পের একটি কাস্টমাইজড পুনরাবৃত্তি, যা কমান্ড-এন্ড-কন্ট্রোল (C2) অপারেশনের জন্য ডিসকর্ড মেসেজিং পরিষেবা ব্যবহার করে, যোগাযোগের জন্য একীভূত ইমোজি সহ।

মজার বিষয় হল, DISGOMOJI হল অভিন্ন ব্যাপক গুপ্তচরবৃত্তির টুল যা পূর্বে সাইবার নিরাপত্তা গবেষকরা পাকিস্তানের সাথে যুক্ত একটি হ্যাকিং গোষ্ঠী ট্রান্সপারেন্ট ট্রাইব অভিনেতাকে দায়ী করা আক্রমণ সম্পর্কিত একটি পরিকাঠামো বিশ্লেষণের সময় চিহ্নিত করেছিলেন।

ডিসগোমোজি ম্যালওয়্যার ডিসকর্ড ইমোজির মাধ্যমে নিয়ন্ত্রিত হয়

আক্রমণটি শুরু হয় বর্শা-ফিশিং ইমেলের মাধ্যমে যার মধ্যে একটি জিপ আর্কাইভের মধ্যে আবদ্ধ একটি গোলং ইএলএফ বাইনারি রয়েছে। সঞ্চালনের পরে, বাইনারিটি দূরবর্তী সার্ভার থেকে বিচক্ষণতার সাথে DISGOMOJI পেলোড ডাউনলোড করার সময় একটি ক্ষতিকারক ডিকয় নথি নিয়ে আসে।

ডিসগোমোজি, ডিসকর্ড-সি2-এর একটি কাস্টমাইজড সংস্করণ, হোস্ট ডেটা সংগ্রহ করতে এবং আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি ডিসকর্ড সার্ভার থেকে কমান্ড চালানোর জন্য প্রকৌশলী। এটি বিভিন্ন ইমোজির মাধ্যমে কমান্ড প্রেরণ এবং ব্যাখ্যা করার একটি অনন্য পদ্ধতি হাসে:

✅ - একটি কমান্ডের সমাপ্তি নির্দেশ করে

💀 - শিকারের ডিভাইসে ম্যালওয়্যার প্রক্রিয়া বন্ধ করে

🏃‍♂️ - শিকারের ডিভাইসে একটি কমান্ড কার্যকর করে

📸 - শিকারের পর্দার একটি স্ক্রিনশট নেয়

👇 - ভিকটিম এর ডিভাইস থেকে চ্যানেলে একটি ফাইল আপলোড করে

☝️ - শিকারের ডিভাইসে একটি ফাইল ডাউনলোড করে

👈 - ট্রান্সফার করার জন্য ভিকটিম এর ডিভাইস থেকে একটি ফাইল আপলোড করে[.]sh

👉 - শিকারের ডিভাইসে oshi[.]এ হোস্ট করা একটি ফাইল ডাউনলোড করে

🦊 - শিকারের ডিভাইসে Mozilla Firefox প্রোফাইলগুলিকে একটি ZIP সংরক্ষণাগারে সংগ্রহ করে

🕐 - আক্রমণকারীকে জানায় যে কমান্ড প্রক্রিয়া করা হচ্ছে

🔥 - নির্দিষ্ট এক্সটেনশনগুলির সাথে ফাইলগুলি অনুসন্ধান করে এবং বের করে দেয়: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS এবং ZIP

ম্যালওয়্যারটি প্রতিটি শিকারের জন্য ডিসকর্ড সার্ভারে একটি পৃথক চ্যানেল স্থাপন করে, আক্রমণকারীকে এই চ্যানেলগুলির মাধ্যমে প্রতিটি শিকারের সাথে পৃথকভাবে যোগাযোগ করার অনুমতি দেয়।

DISGOMOJI-এর বিভিন্ন সংস্করণ সক্ষমতার বৈচিত্র্য দেখান

গবেষকরা উন্নত বৈশিষ্ট্যের সাথে সজ্জিত ডিসগোমোজির বিভিন্ন পুনরাবৃত্তি আবিষ্কার করেছেন, যার মধ্যে অধ্যবসায় স্থাপন করার ক্ষমতা, ডুপ্লিকেট ডিসগোমোজি প্রসেসগুলির একযোগে সঞ্চালন প্রতিরোধ করা, রানটাইমে ডিসকর্ড সার্ভার সংযোগের জন্য গতিশীলভাবে শংসাপত্র পুনরুদ্ধার করা এবং বিভ্রান্তিকর বার্তা এবং ত্রুটিপূর্ণ তথ্য উপস্থাপন করে অস্পষ্ট বিশ্লেষণ।

উপরন্তু, হুমকি অভিনেতা UTA0137 নেটওয়ার্ক স্ক্যানিং এবং টানেলিং উদ্দেশ্যে Nmap, Chisel এবং Ligolo-এর মতো বৈধ এবং ওপেন-সোর্স টুলস ব্যবহার করতে দেখা গেছে। একটি সাম্প্রতিক প্রচারাভিযান লিনাক্স হোস্টে বিশেষাধিকার বৃদ্ধি পেতে ডার্টিপাইপ দুর্বলতা (CVE-2022-0847) কে কাজে লাগিয়েছে। আরেকটি কৌশল পোস্ট-শোষণের মধ্যে রয়েছে জেনিটি ইউটিলিটি ব্যবহার করে একটি প্রতারণামূলক ডায়ালগ বক্সকে ফায়ারফক্স আপডেট হিসাবে দেখানো, যার লক্ষ্য ব্যবহারকারীদের তাদের পাসওয়ার্ড প্রকাশে প্রতারিত করা।