EAGLET ব্যাকডোর ম্যালওয়্যার
সাইবার গুপ্তচরবৃত্তির বিকাশ অব্যাহত রয়েছে, রাষ্ট্র-সম্পর্কিত হুমকিদাতারা ক্রমবর্ধমানভাবে প্রতারণামূলক কৌশল অবলম্বন করছে। সর্বশেষ ঘটনাগুলির মধ্যে একটি হল রাশিয়ার মহাকাশ এবং প্রতিরক্ষা খাতকে ঝুঁকির মুখে ফেলার লক্ষ্যে একটি বিস্তৃত অভিযান, গোপন নজরদারি এবং তথ্য চুরির জন্য EAGLET নামক একটি কাস্টম ব্যাকডোর ব্যবহার।
সুচিপত্র
লক্ষ্যবস্তু চিহ্নিত: অবরোধের মুখে রাশিয়ান মহাকাশযান
অপারেশন কার্গোট্যালন নামে পরিচিত এই অভিযানটি UNG0901 (অজানা গ্রুপ 901) লেবেলযুক্ত একটি হুমকি গোষ্ঠীর দ্বারা পরিচালিত হয়েছে। এই গোষ্ঠীটি রাশিয়ার একটি প্রধান বিমান প্রস্তুতকারক সংস্থা, ভোরোনেজ এয়ারক্রাফ্ট প্রোডাকশন অ্যাসোসিয়েশন (VASO) এর উপর নজর রেখেছে। আক্রমণকারীরা স্পিয়ার-ফিশিং কৌশল ব্যবহার করে যা 'товарно-транспортная накладная' (TTN) নথিগুলিকে কাজে লাগায়, যা রাশিয়ার অভ্যন্তরে সরবরাহ কার্যক্রমের জন্য গুরুত্বপূর্ণ এক ধরণের পণ্য পরিবহন।
আক্রমণ কীভাবে ছড়িয়ে পড়ে: অস্ত্রযুক্ত লোভ এবং ম্যালওয়্যার স্থাপনা
সংক্রমণ শৃঙ্খলটি স্পিয়ার-ফিশিং ইমেল দিয়ে শুরু হয় যেখানে ভুয়া কার্গো ডেলিভারি-থিমযুক্ত সামগ্রী থাকে। এই বার্তাগুলির মধ্যে রয়েছে উইন্ডোজ শর্টকাট (LNK) ফাইল ধারণকারী ZIP আর্কাইভ। কার্যকর করা হলে, LNK ফাইলটি PowerShell ব্যবহার করে একটি ডিকয় মাইক্রোসফ্ট এক্সেল ডকুমেন্ট চালু করে এবং একই সাথে আপোস করা সিস্টেমে EAGLET DLL ব্যাকডোর ইনস্টল করে।
এই প্রতারণামূলক নথিতে ওব্লট্রান্সটার্মিনালের উল্লেখ রয়েছে, যা একটি রাশিয়ান রেলওয়ে কন্টেইনার টার্মিনাল অপারেটর যা ২০২৪ সালের ফেব্রুয়ারিতে মার্কিন ট্রেজারির অফিস অফ ফরেন অ্যাসেটস কন্ট্রোল (OFAC) দ্বারা অনুমোদিত হয়েছিল - সম্ভবত এই পদক্ষেপটি প্রলোভনে বিশ্বাসযোগ্যতা এবং জরুরিতা যোগ করার উদ্দেশ্যে তৈরি হয়েছিল।
EAGLET-এর ভিতরে: ক্ষমতা এবং C2 যোগাযোগ
EAGLET ব্যাকডোর হল একটি গোপন ইমপ্লান্ট যা গোয়েন্দা তথ্য সংগ্রহ এবং অবিরাম অ্যাক্সেসের জন্য ডিজাইন করা হয়েছে। এর ক্ষমতাগুলির মধ্যে রয়েছে:
- সিস্টেমের তথ্য সংগ্রহ করা হচ্ছে
- ১৮৫.২২৫.১৭.১০৪ আইপি ঠিকানায় একটি হার্ডকোডেড C2 সার্ভারের সাথে সংযোগ স্থাপন করা হচ্ছে
- কার্যকর করার জন্য কমান্ড পুনরুদ্ধার করতে HTTP প্রতিক্রিয়াগুলি পার্স করা হচ্ছে
ইমপ্লান্টটিতে ইন্টারেক্টিভ শেল অ্যাক্সেস রয়েছে এবং ফাইল আপলোড/ডাউনলোড অপারেশন সমর্থন করে। তবে, কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের বর্তমান অফলাইন অবস্থার কারণে, বিশ্লেষকরা সম্ভাব্য পরবর্তী পর্যায়ের পেলোডের সম্পূর্ণ পরিধি নির্ধারণ করতে সক্ষম হননি।
অন্যান্য হুমকি অভিনেতাদের সাথে সম্পর্ক: EAGLET এবং Head Mare
প্রমাণ থেকে জানা যায় যে UNG0901 বিচ্ছিন্নভাবে কাজ করছে না। রাশিয়ার সামরিক খাতে অতিরিক্ত সত্তাকে লক্ষ্য করে EAGLET মোতায়েনের অনুরূপ অভিযান লক্ষ্য করা গেছে। এই অভিযানগুলি হেড মেয়ার নামে পরিচিত আরেকটি হুমকি গোষ্ঠীর সাথে সংযোগ প্রকাশ করে, যা রাশিয়ান সংস্থাগুলির উপর মনোযোগ কেন্দ্রীভূত করার জন্য চিহ্নিত।
ওভারল্যাপের মূল সূচকগুলির মধ্যে রয়েছে:
- EAGLET এবং Head Mare টুলসেটের মধ্যে সোর্স কোডের মিল
- ফিশিং সংযুক্তিতে শেয়ার করা নামকরণের নিয়মাবলী
EAGLET এবং PhantomDL-এর মধ্যে কার্যকরী সাদৃশ্য, একটি Go-ভিত্তিক ব্যাকডোর যা তার শেল এবং ফাইল-ট্রান্সফার ক্ষমতার জন্য পরিচিত।
গুরুত্বপূর্ণ বিষয়: সতর্কতা চিহ্ন এবং ক্রমাগত হুমকি
এই প্রচারণাটি স্পিয়ার-ফিশিং অপারেশনের ক্রমবর্ধমান নির্ভুলতা তুলে ধরে, বিশেষ করে TTN ডকুমেন্টের মতো ডোমেন-নির্দিষ্ট লোভ ব্যবহার করে। EAGLET-এর মতো কাস্টম ম্যালওয়্যারের সাথে মিলিত হয়ে ডিকয় ফাইলগুলিতে অনুমোদিত সত্তার ব্যবহার, গুরুত্বপূর্ণ অবকাঠামোর লক্ষ্যে অত্যন্ত লক্ষ্যবস্তুযুক্ত গুপ্তচরবৃত্তি প্রচারণার ক্রমবর্ধমান প্রবণতাকে চিত্রিত করে।
আপসের লক্ষণ এবং সতর্কীকরণের দিকে নজর রাখা:
- অনুমোদিত রাশিয়ান সংস্থাগুলি থেকে পণ্যসম্ভার বা ডেলিভারি নথি উল্লেখ করে ইমেল।
- সন্দেহজনক জিপ সংযুক্তি যাতে LNK ফাইল রয়েছে যা PowerShell কমান্ডগুলি কার্যকর করে।
- অপরিচিত আইপি-তে আউটবাউন্ড সংযোগ।
সাইবার নিরাপত্তা পেশাদারদের UNG0901 এর মতো হুমকিদাতাদের ক্রমবর্ধমান কৌশল সম্পর্কে সতর্ক থাকা উচিত, বিশেষ করে যখন তারা কাস্টমাইজড ম্যালওয়্যার ইমপ্লান্ট এবং ওভারল্যাপিং টুলকিট দিয়ে সংবেদনশীল খাতগুলিকে লক্ষ্য করে।
