DslogdRAT ম্যালওয়্যার

২০২৪ সালের শেষের দিকে, সাইবার নিরাপত্তা বিশেষজ্ঞরা DslogdRAT নামে একটি নতুন রিমোট অ্যাক্সেসট্রোজান (RAT) আবিষ্কার করেন, যা আপোস করা ইভান্টি কানেক্ট সিকিউর (ICS) ডিভাইসে ইনস্টল করা হয়েছিল। হুমকির কারণ হিসেবে চিহ্নিত ব্যক্তিরা CVE-2025-0282 নামে ট্র্যাক করা একটি গুরুত্বপূর্ণ শূন্য-দিনের দুর্বলতা কাজে লাগিয়েছিল, যা অননুমোদিত রিমোট কোড কার্যকর করার অনুমতি দেয়। ইভান্টি ২০২৫ সালের জানুয়ারির শুরুতে এই দুর্বলতা মোকাবেলা করেছিলেন, তবে জাপানের সংস্থাগুলি ইতিমধ্যেই নির্বাচিত হওয়ার আগে নয়।

দরজা ভাঙা: ওয়েব শেলের মাধ্যমে প্রাথমিক অ্যাক্সেস

আক্রমণকারীদের প্রথম পদক্ষেপ ছিল CGI স্ক্রিপ্টের ছদ্মবেশে একটি হালকা, পার্ল-ভিত্তিক ওয়েব শেল স্থাপন করা। কমান্ড কার্যকর করার আগে এই ব্যাকডোরটিতে একটি নির্দিষ্ট কুকি মান, DSAUTOKEN=af95380019083db5, পরীক্ষা করা হয়েছিল। এই অ্যাক্সেসের মাধ্যমে, আক্রমণকারীরা আরও ম্যালওয়্যার, বিশেষ করে DslogdRAT চালু করতে সক্ষম হয়েছিল।

রাডারের আন্ডারে: DslogdRAT-এর মাল্টি-স্টেজ অ্যাটাক ফ্লো

সনাক্তকরণ এড়াতে DslogdRAT একটি চতুর, বহু-পর্যায়ের প্রক্রিয়ার মাধ্যমে কাজ করে:

ধাপ ১: প্রাথমিক প্রক্রিয়াটি একটি চাইল্ড প্রক্রিয়া তৈরি করে যা কনফিগারেশন ডেটা ডিকোড করার এবং দ্বিতীয় কোর প্রক্রিয়া চালু করার জন্য দায়ী।

পর্যায় ২: একটি অবিরাম প্যারেন্ট প্রক্রিয়া সক্রিয় থাকে, সনাক্তকরণের ঝুঁকি কমাতে ঘুমের ব্যবধান অন্তর্ভুক্ত করে।

পর্যায় ৩: দ্বিতীয় চাইল্ড প্রক্রিয়াটি মূল RAT কার্যকারিতা শুরু করে, যার মধ্যে রয়েছে সিস্টেম যোগাযোগ এবং কমান্ড কার্যকরকরণ।

এই স্থাপত্যটি স্থিতিস্থাপকতা এবং গোপনীয়তার নিশ্চয়তা দেয়, যা রক্ষাকারীদের জন্য ম্যালওয়্যার আবিষ্কার এবং বন্ধ করাকে চ্যালেঞ্জিং করে তোলে।

গোপন কথোপকথন: কাস্টম যোগাযোগ কৌশল

কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ সকেটের মাধ্যমে করা হয়, একটি কাস্টম XOR-ভিত্তিক এনকোডিং স্কিম ব্যবহার করে। এনকোড করা বার্তাগুলিতে গুরুত্বপূর্ণ সিস্টেম ফিঙ্গারপ্রিন্ট অন্তর্ভুক্ত থাকে এবং একটি কঠোর যোগাযোগ বিন্যাস মেনে চলে।

DslogdRAT বেশ কয়েকটি মূল কার্যকারিতা সমর্থন করে:

• ফাইল আপলোড এবং ডাউনলোড
• শেল কমান্ড এক্সিকিউশন
• ক্ষতিকারক ট্র্যাফিক রুট করার জন্য প্রক্সি সেটআপ

এই ক্ষমতাগুলি আক্রমণকারীদের সংক্রামিত সিস্টেমের উপর দৃঢ় নিয়ন্ত্রণ বজায় রাখতে এবং নেটওয়ার্কগুলির আরও গভীরে প্রবেশ করতে দেয়।

শুধুমাত্র ব্যবসার সময়: সনাক্তকরণ এড়াতে চতুর কৌশল

DslogdRAT-এর একটি অস্বাভাবিক বৈশিষ্ট্য হল এর অন্তর্নির্মিত কর্মসূচী: এটি কেবল সকাল ৮:০০ টা থেকে রাত ৮:০০ টা পর্যন্ত চলে। এই সময়ের বাইরে, এটি সুপ্ত থাকে, ব্যবহারকারীর আদর্শ কার্যকলাপের ধরণ অনুকরণ করে এবং অফ-আওয়ারে সনাক্তকরণের ঝুঁকি কমিয়ে দেয়।

একাধিক হুমকি: SPAWNSNARE আবিষ্কার

DslogdRAT-এর পাশাপাশি, SPAWNSNARE নামে আরেকটি ম্যালওয়্যার আক্রান্ত সিস্টেমে পাওয়া গেছে। যদিও এটি স্পষ্ট নয় যে এই ম্যালওয়্যারগুলি একই প্রচারণার অংশ নাকি সরাসরি UNC5221 গ্রুপের সাথে সম্পর্কিত, তবে তাদের যুগপত উপস্থিতি অত্যাধুনিক হুমকিদাতাদের দ্বারা সমন্বিত কার্যকলাপের ইঙ্গিত দেয়।

ক্রমবর্ধমান হুমকি: ২০২৫ সালে নতুন শোষণ

২০২৫ সালের এপ্রিলে, নিরাপত্তা গবেষকরা প্রকাশ করেন যে আরেকটি দুর্বলতা, CVE-2025-22457, ম্যালওয়্যার স্থাপনের জন্য অস্ত্র হিসেবে ব্যবহার করা হয়েছিল। এই নতুন প্রচারণার জন্য UNC5221 কে দায়ী করা হয়েছে, যা একটি চীনা হ্যাকিং গ্রুপ বলে মনে করা হচ্ছে। তবে, বিশেষজ্ঞরা এখনও তদন্ত করছেন যে এই কার্যকলাপটি SPAWN ম্যালওয়্যার পরিবারের সাথে জড়িত পূর্ববর্তী আক্রমণের সাথে সম্পর্কিত কিনা।