ডুরিয়ান ম্যালওয়্যার
কিমসুকি উত্তর কোরিয়ার হুমকি গোষ্ঠী সম্প্রতি দুটি দক্ষিণ কোরিয়ার ক্রিপ্টোকারেন্সি কোম্পানিকে লক্ষ্য করে নির্দিষ্ট সাইবার অপারেশনে ডুরিয়ান নামে একটি নতুন গোলং-ভিত্তিক ম্যালওয়্যার ব্যবহার করেছে। ডুরিয়ান হল একটি উন্নত ম্যালওয়্যার যার ব্যাপক ব্যাকডোর ক্ষমতা রয়েছে, এটিকে কমান্ড চালানো, ফাইল ডাউনলোড করা এবং আপস করা সিস্টেম থেকে ডেটা সংগ্রহ করার অনুমতি দেয়।
সুচিপত্র
ডুরিয়ান ম্যালওয়্যার ডেলিভারির জন্য সংক্রমণ ভেক্টর
ঘটনাগুলি 2023 সালের আগস্ট এবং নভেম্বরে সংঘটিত হয়েছিল এবং সংক্রমণের পদ্ধতি হিসাবে দক্ষিণ কোরিয়ার জন্য একচেটিয়া বৈধ সফ্টওয়্যারগুলির শোষণ জড়িত ছিল। এই সফ্টওয়্যারটি ব্যবহার করার জন্য ব্যবহৃত নির্দিষ্ট পদ্ধতিটি এখনও গবেষকদের দ্বারা সম্পূর্ণরূপে উন্মোচিত হয়নি৷
যা বোঝা যায় তা হল এই সফ্টওয়্যারটি আক্রমণকারীর সার্ভারের সাথে যোগাযোগ স্থাপন করে, যা পরে সংক্রমণ প্রক্রিয়া শুরু করার জন্য একটি অনিরাপদ পেলোড পুনরুদ্ধার করে। প্রাথমিক পর্যায়ে আরও ম্যালওয়্যারের জন্য একটি ইনস্টলার হিসাবে কাজ করে এবং প্রভাবিত হোস্টের উপর অধ্যবসায় স্থাপন করে। এটি একটি লোডার ম্যালওয়্যার স্থাপনের সুবিধা দেয় যা শেষ পর্যন্ত ডুরিয়ানের মৃত্যুদন্ড কার্যকর করে।
ডুরিয়ানের পাশাপাশি আক্রমণকারীদের দ্বারা ব্যবহৃত অতিরিক্ত ম্যালওয়্যার
আক্রমণকারীরা এনগ্রোক এবং ক্রোম রিমোট ডেস্কটপের মতো বৈধ সরঞ্জামগুলির সাথে অ্যাপলসিড (কিমসুকির পছন্দের ব্যাকডোর), ল্যাজিলোড নামে একটি কাস্টম প্রক্সি টুল সহ অতিরিক্ত ম্যালওয়্যার স্থাপন করতে ডুরিয়ান ব্যবহার করে। উদ্দেশ্য ছিল কুকিজ এবং লগইন শংসাপত্রের মতো ব্রাউজার-সঞ্চিত ডেটা চুরি করা।
আক্রমণের একটি আকর্ষণীয় বিষয় হল LazyLoad এর ব্যবহার, পূর্বে L azarus গ্রুপের অন্তর্গত একটি সাব-গ্রুপ আন্ডারিয়েলের সাথে যুক্ত ছিল। এটি এই হুমকি অভিনেতাদের মধ্যে একটি সম্ভাব্য সহযোগিতা বা কৌশলগত প্রান্তিককরণের পরামর্শ দেয়।
কিমসুকি সাইবার ক্রাইম দৃশ্যে একজন প্রধান খেলোয়াড় হিসেবে রয়ে গেছে
অন্তত 2012 সাল থেকে সক্রিয় কিমসুকি গ্রুপটি APT43, Black Banshee, Emerald Sleet (পূর্বে Thallium), Springtail, TA427 এবং ভেলভেট চোলিমা সহ বিভিন্ন উপনামেও পরিচিত। এটি উত্তর কোরিয়ার শীর্ষ সামরিক গোয়েন্দা সংস্থা রিকনেসান্স জেনারেল ব্যুরো (আরজিবি) এর একটি বিভাগ 63 তম গবেষণা কেন্দ্রের অধীনে কাজ করবে বলে মনে করা হয়।
ইউএস ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন (এফবিআই) এবং ন্যাশনাল সিকিউরিটি এজেন্সি (এনএসএ) এর যৌথ সতর্কতা অনুসারে, কিমসুকির প্রাথমিক লক্ষ্য উত্তর কোরিয়ার সরকারকে চুরি করা ডেটা এবং ভূ-রাজনৈতিক অন্তর্দৃষ্টি প্রদান করা। তারা নীতি বিশ্লেষক এবং বিশেষজ্ঞদের সাথে আপস করে এটি অর্জন করে। সফল সমঝোতা কিমসুকি অভিনেতাদের উচ্চ-মূল্যবান ব্যক্তিদের লক্ষ্য করার জন্য আরও বিশ্বাসযোগ্য স্পিয়ার-ফিশিং ইমেল তৈরি করতে দেয়।
কিমসুকি একটি C#-ভিত্তিক রিমোট অ্যাক্সেস ট্রোজান এবং টিউটোরিয়ালআরএটি নামে পরিচিত তথ্য সংগ্রাহক জড়িত প্রচারাভিযানের সাথেও যুক্ত ছিলেন। এই ম্যালওয়্যারটি ড্রপবক্সকে আক্রমণ শুরু করার জন্য একটি প্ল্যাটফর্ম হিসাবে ব্যবহার করে, যার লক্ষ্য হুমকি সনাক্তকরণ এড়াতে। এই প্রচারাভিযান, APT43 এর BabyShark হুমকি প্রচারণার কথা মনে করিয়ে দেয়, শর্টকাট (LNK) ফাইলের ব্যবহার সহ সাধারণ স্পিয়ার-ফিশিং কৌশল ব্যবহার করে।
