Dohdoor Backdoor

পূর্বে নথিভুক্ত না থাকা একটি হুমকি কার্যকলাপ ক্লাস্টার কমপক্ষে ২০২৫ সালের ডিসেম্বর থেকে মার্কিন যুক্তরাষ্ট্র জুড়ে শিক্ষা এবং স্বাস্থ্যসেবা খাতকে লক্ষ্য করে চলমান একটি দূষিত প্রচারণার সাথে যুক্ত বলে মনে করা হচ্ছে। নিরাপত্তা গবেষকরা UAT-10027 নামকরণের অধীনে এই কার্যকলাপটি ট্র্যাক করছেন। এই প্রচারণার প্রাথমিক উদ্দেশ্য হল দোহডোর নামে পরিচিত একটি নতুন চিহ্নিত ব্যাকডোর মোতায়েন করা।

ইতিমধ্যেই একাধিক শিক্ষা প্রতিষ্ঠানের উপর হামলা চালানো হয়েছে, যার মধ্যে একটি বিশ্ববিদ্যালয়ও রয়েছে যার সাথে বেশ কয়েকটি অনুমোদিত প্রতিষ্ঠানের সংযোগ রয়েছে, যা সম্ভাব্যভাবে আক্রমণের ক্ষেত্র সম্প্রসারিত হওয়ার ইঙ্গিত দেয়। বয়স্কদের যত্নে বিশেষজ্ঞ একটি স্বাস্থ্যসেবা কেন্দ্রকেও শিকার হিসেবে নিশ্চিত করা হয়েছে, যা অভিযানের সেক্টর-নির্দিষ্ট লক্ষ্যকে তুলে ধরে।

ইনফেকশন চেইন এবং ম্যালওয়্যার স্থাপন

যদিও সুনির্দিষ্ট প্রাথমিক অ্যাক্সেস ভেক্টর এখনও অনির্ধারিত রয়ে গেছে, তদন্তকারীরা সন্দেহ করছেন যে প্রচারণাটি সামাজিক প্রকৌশল-ভিত্তিক ফিশিং কৌশল দিয়ে শুরু হয় যা শেষ পর্যন্ত একটি দূষিত পাওয়ারশেল স্ক্রিপ্ট কার্যকর করার জন্য ট্রিগার করে।

সংক্রমণের ক্রমটি একাধিক পর্যায়ে ঘটে:

• পাওয়ারশেল স্ক্রিপ্টটি একটি রিমোট স্টেজিং সার্ভার থেকে একটি উইন্ডোজ ব্যাচ ফাইল পুনরুদ্ধার করে এবং কার্যকর করে।
• ব্যাচ ফাইলটি তখন একটি ক্ষতিকারক DLL ফাইল ডাউনলোড করে, যা সাধারণত 'propsys.dll' বা 'batmeter.dll' নামে পরিচিত।
• দোহডোর নামে চিহ্নিত ডিএলএলটি 'Fondue.exe,' 'mblctr.exe,' অথবা 'ScreenClippingHost.exe' এর মতো বৈধ উইন্ডোজ বাইনারি ব্যবহার করে ডিএলএল সাইড-লোডিংয়ের মাধ্যমে কার্যকর করা হয়।
• একবার সক্রিয় হয়ে গেলে, ব্যাকডোরটি সরাসরি মেমোরিতে একটি সেকেন্ডারি পেলোড টেনে আনে এবং এটি কার্যকর করে, যাকে কোবাল্ট স্ট্রাইক বীকন বলে মূল্যায়ন করা হয়।

এই বহু-স্তরযুক্ত এক্সিকিউশন চেইনটি সনাক্তকরণ এড়াতে বিশ্বস্ত সিস্টেম প্রক্রিয়াগুলির সাথে ক্ষতিকারক উপাদানগুলিকে মিশ্রিত করার ইচ্ছাকৃত প্রচেষ্টা প্রদর্শন করে।

গোপন কমান্ড-ও-কন্ট্রোল অবকাঠামো

Dohdoor কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগ পরিচালনা করার জন্য DNS-over-HTTPS (DoH) ব্যবহার করে। HTTPS ট্র্যাফিকের মধ্যে DNS কোয়েরি এনক্রিপ্ট করে, ম্যালওয়্যারটি আপাতদৃষ্টিতে বৈধ এনক্রিপ্ট করা ওয়েব ট্র্যাফিকের মধ্যে তার যোগাযোগ গোপন করে।

হুমকিদাতা ক্লাউডফ্লেয়ারের নেটওয়ার্কের মাধ্যমে C2 সার্ভারগুলিকে রাউটিং করে অবকাঠামোকে আরও অস্পষ্ট করে তোলে। ফলস্বরূপ, ঝুঁকিপূর্ণ সিস্টেমগুলি থেকে আউটবাউন্ড যোগাযোগগুলি একটি বিশ্বস্ত গ্লোবাল আইপি ঠিকানার দিকে পরিচালিত স্ট্যান্ডার্ড HTTPS ট্র্যাফিক হিসাবে উপস্থিত হয়।

এই পদ্ধতি কার্যকরভাবে ঐতিহ্যবাহী প্রতিরক্ষামূলক ব্যবস্থাকে এড়িয়ে যায়, যার মধ্যে রয়েছে:

• DNS-ভিত্তিক সনাক্তকরণ সিস্টেম এবং DNS সিঙ্কহোল

• সন্দেহজনক ডোমেন লুকআপগুলিকে চিহ্নিত করে এমন নেটওয়ার্ক পর্যবেক্ষণ সরঞ্জাম

• দৃশ্যমান DNS প্রশ্নের উপর নির্ভরশীল প্রচলিত ট্র্যাফিক বিশ্লেষণ সমাধান

নেটওয়ার্ক ফাঁকি দেওয়ার কৌশল ছাড়াও, Dohdoor সক্রিয়ভাবে NTDLL.dll-এ সিস্টেম কল আনহুক করে যাতে ব্যবহারকারী-মোড API পর্যবেক্ষণের উপর নির্ভরশীল এন্ডপয়েন্ট ডিটেকশন এবং রেসপন্স (EDR) সমাধানগুলিকে এড়িয়ে যায়। এই ক্ষমতা এন্ডপয়েন্ট স্তরে আচরণগত সনাক্তকরণের সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস করে।

পরিচালনাগত উদ্দেশ্য এবং আর্থিক প্রেরণা

বর্তমানে, ডেটা এক্সফিল্ট্রেশনের কোনও নিশ্চিত প্রমাণ সনাক্ত করা যায়নি। ফলো-অন পেলোড হিসাবে কোবাল্ট স্ট্রাইক বীকন স্থাপনের পাশাপাশি, কোনও অতিরিক্ত চূড়ান্ত পর্যায়ের ম্যালওয়্যার পরিলক্ষিত হয়নি।

এখনও পর্যন্ত র‍্যানসমওয়্যার বা ডেটা চুরির কোনও কার্যকলাপের অভাব থাকা সত্ত্বেও, বিশ্লেষকরা মূল্যায়ন করেন যে প্রচারণাটি সম্ভবত আর্থিকভাবে অনুপ্রাণিত। এই উপসংহারটি ভিকটিমোলজি প্যাটার্ন এবং নগদীকরণ-চালিত অনুপ্রবেশে ব্যবহৃত শোষণ-পরবর্তী কাঠামোর সাথে সাধারণত যুক্ত টুলিং স্থাপনের উপর ভিত্তি করে।

অ্যাট্রিবিউশন বিশ্লেষণ এবং উত্তর কোরিয়ার ওভারল্যাপ

UAT-10027 এর পিছনে থাকা গোষ্ঠীর পরিচয় এখনও অজানা। তবে, গবেষকরা দোহদুর এবং লাজারলোডারের মধ্যে কৌশলগত মিল খুঁজে পেয়েছেন, যা পূর্বে উত্তর কোরিয়ার হুমকি গোষ্ঠী লাজারাসের সাথে সম্পর্কিত একটি ডাউনলোডার ছিল।

যদিও ল্যাজারাস-সংযুক্ত ম্যালওয়্যারের সাথে প্রযুক্তিগত ওভারল্যাপ বিদ্যমান, শিক্ষা এবং স্বাস্থ্যসেবার উপর প্রচারণার ফোকাস ল্যাজারাসের ক্রিপ্টোকারেন্সি প্ল্যাটফর্ম এবং প্রতিরক্ষা-সম্পর্কিত সত্তাগুলিকে ঐতিহ্যবাহী লক্ষ্যবস্তু করার থেকে ভিন্ন।

তা সত্ত্বেও, উত্তর কোরিয়ার অ্যাডভান্সড পারসেন্টিসেন্ট থ্রেট (এপিটি) অভিনেতাদের ঐতিহাসিক কার্যকলাপ আংশিক ভিকটিমোলজি সারিবদ্ধতা প্রকাশ করে। উদাহরণস্বরূপ, উত্তর কোরিয়ার অপারেটররা স্বাস্থ্যসেবা সংস্থাগুলির বিরুদ্ধে মাউই র‍্যানসমওয়্যার মোতায়েন করেছে এবং কিমসুকি গ্রুপ শিক্ষা প্রতিষ্ঠানগুলিকে লক্ষ্য করেছে। এই নজিরগুলি UAT-10027 এর টার্গেটিং প্রোফাইলের সাথে বিষয়ভিত্তিক ওভারল্যাপগুলিকে তুলে ধরে, যদিও কোনও নির্দিষ্ট বৈশিষ্ট্য প্রতিষ্ঠিত হয়নি।

অত্যাধুনিক ফাঁকি কৌশল, নির্বাচনী খাত লক্ষ্যবস্তুকরণ এবং অবকাঠামো গোপনকরণের সমন্বয় UAT-10027 কে একটি উল্লেখযোগ্য এবং ক্রমবর্ধমান হুমকি হিসেবে চিহ্নিত করে যার জন্য গুরুত্বপূর্ণ পরিষেবা খাতগুলিতে আরও সতর্কতা প্রয়োজন।