DRILLAPP ব্যাকডোর

সাইবার নিরাপত্তা বিশ্লেষকরা ইউক্রেনীয় সংস্থাগুলোকে লক্ষ্য করে একটি নতুন হুমকি অভিযান শনাক্ত করেছেন, যার বিভিন্ন সূচকে রাশিয়ার সাথে যুক্ত পক্ষগুলোর সম্পৃক্ততার ইঙ্গিত পাওয়া যাচ্ছে। ২০২৬ সালের ফেব্রুয়ারিতে প্রথম পর্যবেক্ষণ করা এই কার্যকলাপের সাথে লন্ড্রি বেয়ার (Laundry Bear) নামে পরিচিত গোষ্ঠীর (যাকে ইউএসি-০১৯০ বা ভয়েড ব্লিজার্ড নামেও ট্র্যাক করা হয়) পূর্ববর্তী একটি অভিযানের প্রযুক্তিগত মিল রয়েছে। সেই আগের অভিযানটি ইউক্রেনের প্রতিরক্ষা বাহিনীকে লক্ষ্য করে চালানো হয়েছিল এবং এতে প্লাগিএপ (PLUGGYAPE) নামক একটি ম্যালওয়্যার পরিবার ব্যবহার করা হয়েছিল।

সর্বশেষ অপারেশনটিতে মাইক্রোসফট এজ ব্রাউজারের মাধ্যমে একটি জাভাস্ক্রিপ্ট-ভিত্তিক ব্যাকডোর প্রবেশ করানো হয়। গবেষকদের দ্বারা DRILLAPP নামে পরিচিত এই ম্যালওয়্যারটি ব্রাউজারের সক্ষমতা কাজে লাগিয়ে ফাইল আপলোড ও ডাউনলোড করা, মাইক্রোফোন অ্যাক্সেস করা এবং ভুক্তভোগীর ওয়েবক্যাম থেকে ছবি তোলার জন্য ডিজাইন করা হয়েছে।

আক্রমণকারীরা ক্ষতিকারক উপাদানগুলো ছড়ানোর জন্য সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে। ভুক্তভোগীদের ক্ষতিকারক ফাইল খুলতে এবং সংক্রমণের ধারা শুরু করতে উৎসাহিত করার জন্য আইনি বিষয় বা দাতব্য সংস্থার উল্লেখ করে প্রলোভন দেখানো হয়।

প্রতারণামূলক প্রলোভন এবং প্রাথমিক সংক্রমণ পদ্ধতি

এই ক্যাম্পেইনটি দুটি স্বতন্ত্র রূপে পরিলক্ষিত হয়েছে। প্রথম সংস্করণটি, যা ২০২৬ সালের ফেব্রুয়ারির শুরুতে শনাক্ত করা হয়, প্রাথমিক ডেলিভারি পদ্ধতি হিসেবে একটি উইন্ডোজ শর্টকাট (LNK) ফাইল ব্যবহার করে। এটি চালু করা হলে, শর্টকাটটি সিস্টেমের টেম্পোরারি ডিরেক্টরিতে একটি এইচটিএমএল অ্যাপ্লিকেশন (HTA) ফাইল তৈরি করে। এরপর এই HTA ফাইলটি পেস্টফাই (Pastefy) নামক বৈধ পেস্ট-শেয়ারিং সার্ভিসে হোস্ট করা একটি রিমোট স্ক্রিপ্ট পুনরুদ্ধার করে।

আক্রান্ত সিস্টেমে এর স্থায়িত্ব বজায় রাখতে, আক্রমণকারীরা ক্ষতিকারক LNK ফাইলটি উইন্ডোজ স্টার্টআপ ফোল্ডারে কপি করে, যা প্রতিটি সিস্টেম রিবুটের পর স্বয়ংক্রিয়ভাবে চালু হওয়া নিশ্চিত করে। একবার সংক্রমণ শুরু হলে, ভুক্তভোগীদের সামনে এমন কিছু URL দেখানো হয় যেগুলিতে বিভ্রান্তিকর থিম থাকে, যেমন স্টারলিঙ্ক ইনস্টল করার নির্দেশাবলী অথবা ইউক্রেনীয় দাতব্য সংস্থা ‘কাম ব্যাক অ্যালাইভ ফাউন্ডেশন’-এর উল্লেখ।

HTA ফাইলটি অবশেষে হেডলেস মোডে পরিচালিত মাইক্রোসফট এজ ব্রাউজারের মাধ্যমে চালু হয়, যা ব্রাউজারটিকে একটি সাধারণ ব্রাউজার উইন্ডো প্রদর্শন না করেই পেস্টিফাই থেকে প্রাপ্ত অস্পষ্ট স্ক্রিপ্টটি কার্যকর করার সুযোগ দেয়।

গোপনে অ্যাক্সেসের জন্য ব্রাউজার প্যারামিটারের অপব্যবহার

এর কার্যক্ষমতা সর্বোচ্চ করতে, ক্ষতিকারক প্রসেসটি একাধিক প্যারামিটারসহ এজ ব্রাউজার চালু করে, যা অন্তর্নির্মিত নিরাপত্তা ব্যবস্থাকে দুর্বল করে দেয় এবং সংবেদনশীল সিস্টেম রিসোর্সে অননুমোদিত অ্যাক্সেসের সুযোগ করে দেয়।

এই প্যারামিটারগুলো ব্রাউজারকে সাধারণ সুরক্ষা ব্যবস্থা এড়িয়ে যেতে এবং ব্রাউজার নিরাপত্তা মডেল দ্বারা সাধারণত সীমাবদ্ধ থাকা কাজগুলো সম্পাদন করতে সক্ষম করে। এই কনফিগারেশনটি কার্যকরভাবে ম্যালওয়্যারটিকে ভুক্তভোগীর কোনো রকম হস্তক্ষেপ ছাড়াই স্থানীয় ফাইল অ্যাক্সেস করতে, অডিও ও ভিডিও স্ট্রিম ক্যাপচার করতে এবং স্ক্রিনের কার্যকলাপ রেকর্ড করতে সক্ষম করে।

আক্রমণে ব্যবহৃত প্রধান ব্রাউজার প্যারামিটারগুলো হলো:

--নো-স্যান্ডবক্স

ওয়েব নিরাপত্তা নিষ্ক্রিয় করুন

--ফাইল থেকে ফাইল অ্যাক্সেসের অনুমতি

--use-fake-ui-for-media-stream

--auto-select-screen-capture-source=true

--ব্যবহারকারীর-মিডিয়া-নিরাপত্তা নিষ্ক্রিয় করুন

এই সেটিংসগুলোর অপব্যবহারের মাধ্যমে, ব্রাউজারটি কেবল একটি ডেলিভারি প্ল্যাটফর্ম না থেকে ম্যালওয়্যার অবকাঠামোর একটি কার্যকরী উপাদানে পরিণত হয়।

ব্রাউজার-ভিত্তিক ব্যাকডোর এবং নজরদারি ক্ষমতা

DRILLAPP আর্টিফ্যাক্টটি একটি হালকা কিন্তু বহুমুখী ব্যাকডোর হিসেবে কাজ করে। একবার সক্রিয় হলে, এটি আক্রমণকারীদের ব্রাউজার-সক্ষম বৈশিষ্ট্যগুলোর মাধ্যমে সংক্রমিত সিস্টেমের সাথে যোগাযোগ করতে সক্ষম করে, যা কার্যকরভাবে ব্রাউজারটিকে একটি দূরবর্তী নজরদারি টুলে রূপান্তরিত করে।

এই ম্যালওয়্যারটি এমন বেশ কিছু কার্যক্রম সম্পাদন করতে সক্ষম, যার মাধ্যমে আক্রান্ত ডিভাইসগুলো থেকে ব্যাপক নজরদারি এবং তথ্য সংগ্রহ করা যায়।

মূল সক্ষমতাগুলোর মধ্যে রয়েছে:

• স্থানীয় সিস্টেম থেকে ফাইল আপলোড এবং ডাউনলোড করা
• ডিভাইসের মাইক্রোফোনের মাধ্যমে অডিও ধারণ করা
• ওয়েবক্যামের মাধ্যমে ভিডিও রেকর্ড করা
• সিস্টেম ডিসপ্লের স্ক্রিনশট নেওয়া
• ক্যানভাস ফিঙ্গারপ্রিন্টিং কৌশল ব্যবহার করে একটি অনন্য ডিভাইস ফিঙ্গারপ্রিন্ট তৈরি করা

প্রথমবার কার্যকর হওয়ার সময়, ম্যালওয়্যারটি একটি ডিভাইস ফিঙ্গারপ্রিন্ট তৈরি করে এবং কমান্ড-অ্যান্ড-কন্ট্রোল যোগাযোগের জন্য ব্যবহৃত একটি ওয়েবসকেট অ্যাড্রেস পুনরুদ্ধার করতে পেস্টেফাইকে একটি 'ডেড-ড্রপ রিজলভার' হিসেবে ব্যবহার করে। এই গঠনপ্রণালী আক্রমণকারীদেরকে সংক্রমিত সিস্টেমগুলোকে গতিশীলভাবে তাদের অপারেশনাল অবকাঠামোতে পুনঃনির্দেশিত করার সুযোগ দেয়।

এই ব্যাকডোরটি ভুক্তভোগীর অনুমান করা ভৌগোলিক অবস্থানের পাশাপাশি ডিভাইসের ফিঙ্গারপ্রিন্টও প্রেরণ করে। সিস্টেমের টাইম জোন থেকে অবস্থান নির্ধারণ করা হয় এবং যুক্তরাজ্য, রাশিয়া, জার্মানি, ফ্রান্স, চীন, জাপান, মার্কিন যুক্তরাষ্ট্র, ব্রাজিল, ভারত, ইউক্রেন, কানাডা, অস্ট্রেলিয়া, ইতালি, স্পেন এবং পোল্যান্ড সহ একটি পূর্বনির্ধারিত তালিকার সাথে মিলিয়ে দেখা হয়। যদি টাইম জোন এই অঞ্চলগুলির কোনোটির সাথে না মেলে, তবে ম্যালওয়্যারটি ডিফল্টভাবে সিস্টেমটিকে মার্কিন যুক্তরাষ্ট্রে অবস্থিত বলে শনাক্ত করে।

দ্বিতীয় অভিযান সংস্করণে বিকশিত কৌশল

২০২৬ সালের ফেব্রুয়ারির শেষের দিকে ক্যাম্পেইনটির একটি দ্বিতীয় সংস্করণ সামনে আসে, যেখানে আক্রমণের সামগ্রিক কাঠামো অপরিবর্তিত রেখে বেশ কিছু পরিবর্তন আনা হয়। LNK শর্টকাট ফাইলের উপর নির্ভর করার পরিবর্তে, এই হালনাগাদ সংস্করণটি প্রাথমিক বার্তা প্রেরণের মাধ্যম হিসেবে উইন্ডোজ কন্ট্রোল প্যানেল মডিউল ব্যবহার করে।

ব্যাকডোর কম্পোনেন্টটিও কার্যকারিতায় আপগ্রেড পেয়েছে। এই উন্নতিগুলো ম্যালওয়্যারটিকে আরও গভীর ফাইল সিস্টেম অপারেশন সম্পাদন করতে এবং সংক্রমিত পরিবেশ থেকে ডেটা পাচার করার ক্ষমতা বাড়াতে সাহায্য করে।

উল্লেখযোগ্য উন্নতিগুলোর মধ্যে রয়েছে রিকার্সিভ ফাইল এনুমারেশন, ব্যাচ ফাইল আপলোড এবং সরাসরি আক্রান্ত সিস্টেমে যেকোনো ফাইল ডাউনলোড করার ক্ষমতা।

ক্রোমিয়াম ডিবাগিং টুল ব্যবহার করে জাভাস্ক্রিপ্টের সীমাবদ্ধতা এড়িয়ে যাওয়া

সাধারণত জাভাস্ক্রিপ্টের প্রচলিত নিরাপত্তা বিধিনিষেধের কারণে রিমোট কোড সরাসরি ভুক্তভোগীর সিস্টেমে ফাইল ডাউনলোড করতে পারে না। এই সীমাবদ্ধতা এড়ানোর জন্য আক্রমণকারীরা ক্রোম ডেভটুলস প্রোটোকল (CDP) ব্যবহার করে, যা ক্রোমিয়াম-ভিত্তিক ব্রাউজারগুলোর ব্যবহৃত একটি অভ্যন্তরীণ ডিবাগিং ইন্টারফেস।

CDP শুধুমাত্র তখনই অ্যাক্সেস করা যায়, যখন ব্রাউজারটি --remote-debugging-port প্যারামিটারটি সক্রিয় করে চালু করা হয়। এই ডিবাগিং কার্যকারিতা সক্রিয় করার মাধ্যমে, আক্রমণকারীরা প্রোগ্রাম্যাটিকভাবে ব্রাউজারের আচরণ নিয়ন্ত্রণ করার এবং সাধারণ ক্লায়েন্ট-সাইড সীমাবদ্ধতাগুলি বাইপাস করার ক্ষমতা অর্জন করে, যার ফলে এমন সব রিমোট ফাইল ডাউনলোড করা সম্ভব হয় যা অন্যথায় ব্লক করা থাকত।

প্রাথমিক উন্নয়ন সূচক এবং পরীক্ষামূলক অবকাঠামো

প্রমাণ থেকে বোঝা যায় যে ম্যালওয়্যারটির এখনও সক্রিয়ভাবে উন্নয়ন চলছে। ২০২৬ সালের ২৮শে জানুয়ারী তারিখে আবিষ্কৃত একটি প্রাথমিক ভ্যারিয়েন্ট, পেস্টফাই (Pastefy) থেকে তার মূল পেলোড সংগ্রহ করার পরিবর্তে, শুধুমাত্র 'gnome.com' ডোমেইনের সাথে যোগাযোগ করত।

এই আচরণ থেকে বোঝা যায় যে, হুমকি সৃষ্টিকারীরা হয়তো এখনও তাদের পরিকাঠামো এবং ব্যাকডোরের কার্যক্ষমতা উভয়ই উন্নত করে চলেছে।

ব্রাউজারের অপব্যবহার একটি উদীয়মান এড়ানোর কৌশল হিসেবে

এই ক্যাম্পেইনের অন্যতম গুরুত্বপূর্ণ একটি দিক হলো ব্যাকডোরটির প্রধান এক্সিকিউশন এনভায়রনমেন্ট হিসেবে ইচ্ছাকৃতভাবে একটি ওয়েব ব্রাউজারের ব্যবহার। এই পদ্ধতিটি একটি ক্রমবর্ধমান প্রবণতাকে তুলে ধরে, যেখানে আক্রমণকারীরা শনাক্তকরণ এড়ানোর জন্য বৈধ সফটওয়্যারকে ভিন্ন উদ্দেশ্যে ব্যবহার করে।

ক্ষতিকারক কার্যকলাপের জন্য ব্রাউজার বেশ কিছু সুবিধা প্রদান করে। এগুলো ব্যাপকভাবে ব্যবহৃত হয় এবং সাধারণত নিরীহ প্রক্রিয়া হিসেবে বিবেচিত হওয়ায় তাৎক্ষণিক সন্দেহের সম্ভাবনা কমে যায়। এছাড়াও, ব্রাউজারের ডিবাগিং প্যারামিটারগুলো এমন শক্তিশালী ক্ষমতা উন্মোচন করতে পারে যা অন্যথায় সীমাবদ্ধ থাকা কাজগুলো, যেমন দূর থেকে ফাইল ডাউনলোড এবং সিস্টেমে ব্যাপক অ্যাক্সেস, সম্ভব করে তোলে।

তাছাড়া, ব্রাউজারগুলোর কাছে মাইক্রোফোন, ক্যামেরা এবং স্ক্রিন-ক্যাপচার ব্যবস্থা সহ সংবেদনশীল হার্ডওয়্যার রিসোর্সগুলোর সাথে যোগাযোগের বৈধ অনুমতি থাকে, যা আক্রমণকারীদেরকে সিস্টেমের স্বাভাবিক আচরণের সাথে মিশে গিয়ে নজরদারি কার্যক্রম চালাতে সক্ষম করে।