EarlyRat Malware

সাইবারসিকিউরিটি গবেষকরা লক্ষ্য করেছেন যে উত্তর কোরিয়ার সাথে যুক্ত হুমকি অভিনেতা আন্ডারিয়েল, আর্লির্যাট নামে একটি নতুন আবিষ্কৃত ম্যালওয়্যার ব্যবহার করে তার অস্ত্রাগার প্রসারিত করেছে। পূর্বে অজানা দূষিত টুল ফিশিং প্রচারাভিযানে হুমকি অভিনেতাদের দ্বারা স্থাপন করা হয়েছে. এই সংযোজন আন্ডারিয়েলের বিস্তৃত পরিসরের সরঞ্জাম এবং কৌশলকে আরও উন্নত করে।

টার্গেট করা মেশিনগুলিকে সংক্রামিত করতে, আন্ডারিয়াল সাইবার অপরাধীরা Log4j শোষণের সুবিধা নেয়, Log4j লগিং লাইব্রেরিতে দুর্বলতাগুলিকে কাজে লাগায়৷ এই শোষণের মাধ্যমে, হুমকি অভিনেতা আপোসকৃত সিস্টেমে অ্যাক্সেস লাভ করে এবং আক্রমণ অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে অতিরিক্ত ম্যালওয়্যার ডাউনলোড করতে এগিয়ে যায়।

আন্ডারিয়েল উত্তর কোরিয়ার অন্যান্য হ্যাকার গ্রুপের সাথে সংযুক্ত

আন্ডারিয়েল, সাইলেন্ট চোলিমা এবং স্টোনফ্লাই নামেও পরিচিত, Lazarus গ্রুপের ছত্রছায়ায় অন্যান্য অধস্তন উপাদান যেমন APT38 (ওরফে ব্লুনোরফ) এর সাথে কাজ করে। এই হুমকি অভিনেতা উত্তর কোরিয়া ভিত্তিক একটি বিশিষ্ট হ্যাকিং ইউনিট ল্যাব 110 এর সাথেও যুক্ত।

আন্ডারিয়েলের কার্যকলাপগুলি বিদেশী সরকার এবং কৌশলগত স্বার্থের সামরিক সংস্থাগুলিকে লক্ষ্য করে গুপ্তচরবৃত্তি সহ বিভিন্ন ধরণের অপারেশনকে অন্তর্ভুক্ত করে। উপরন্তু, গোষ্ঠীটি দেশের জন্য সম্পূরক আয় তৈরি করতে সাইবার ক্রাইম কার্যকলাপে জড়িত, যা ভারী নিষেধাজ্ঞার অধীনে রয়েছে।

Adariel অস্ত্রাগারে কুখ্যাত মাউই র‍্যানসমওয়্যার সহ বিভিন্ন সাইবার অস্ত্র রয়েছে। উপরন্তু, গোষ্ঠীটি বহু দূরবর্তী অ্যাক্সেস ট্রোজান এবং ব্যাকডোর ব্যবহার করে, যেমন Dtrack (Valefor এবং Preft নামেও পরিচিত), NukeSped (ওরফে Manuscrypt), MagicRAT এবং YamaBot ।

NukeSped, বিশেষত, ক্ষমতার একটি বিস্তৃত অ্যারের অধিকারী যা এটিকে প্রসেস তৈরি এবং শেষ করতে সক্ষম করে, সেইসাথে আপস করা হোস্টে ফাইলগুলিকে ম্যানিপুলেট করতে সক্ষম করে৷ উল্লেখযোগ্যভাবে, NukeSped এর ব্যবহার ট্রেডারট্রেটার নামে পরিচিত একটি প্রচারণার সাথে ওভারল্যাপ করে, যা ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) দ্বারা ট্র্যাক করা হয়েছে।

আনপ্যাচড VMware Horizon সার্ভারে Log4Shell দুর্বলতার আন্ডারিয়েলের শোষণ পূর্বে 2022 সালে AhnLab সিকিউরিটি ইমার্জেন্সি রেসপন্স সেন্টার (ASEC) এবং Cisco Talos দ্বারা নথিভুক্ত করা হয়েছিল, উদীয়মান দুর্বলতাগুলিকে অস্ত্র তৈরি করার জন্য গ্রুপের চলমান প্রচেষ্টাকে তুলে ধরে।

EarlyRat তথ্য সংগ্রহ করে এবং লঙ্ঘিত ডিভাইসগুলিতে অনুপ্রবেশকারী কমান্ডগুলি কার্যকর করে

EarlyRat ম্যালওয়্যার ফিশিং ইমেলের মাধ্যমে ছড়িয়ে পড়ে যাতে প্রতারণামূলক Microsoft Word নথি রয়েছে। এই ফাইলগুলি খোলার পরে, প্রাপকদের ম্যাক্রো সক্ষম করার জন্য অনুরোধ করা হয়, হুমকিটি ডাউনলোড করার জন্য দায়ী VBA কোড কার্যকর করতে ট্রিগার করে৷

EarlyRat একটি সরল অথচ সীমিত ব্যাকডোর হিসেবে চিহ্নিত করা হয়েছে, যা রিমোট সার্ভারে সিস্টেমের তথ্য সংগ্রহ ও প্রেরণ করার জন্য ডিজাইন করা হয়েছে। উপরন্তু, এটি নির্বিচারে আদেশ কার্যকর করার ক্ষমতা আছে। উল্লেখযোগ্যভাবে, EarlyRat এবং MagicRAT এর মধ্যে উল্লেখযোগ্য সাদৃশ্য রয়েছে, যদিও এটি বিভিন্ন ফ্রেমওয়ার্ক ব্যবহার করে লেখা হয়েছে। EarlyRat PureBasic ব্যবহার করে, যখন MagicRAT Qt ফ্রেমওয়ার্ক ব্যবহার করে।

পূর্ববর্তী বছরে লক্ষ্য করা Log4j Log4Shell দুর্বলতাকে কাজে লাগিয়ে আক্রমণের প্রেক্ষাপটে, একটি পূর্বে অদেখা কৌশল এখন আবির্ভূত হয়েছে। আক্রমণকারীরা তাদের লক্ষ্য এবং আপোসকৃত ডিভাইসগুলিকে আরও কাজে লাগাতে 3Proxy , ForkDump, NTDSDumpEx, Powerline এবং PuTTY- এর মতো বৈধ অফ-দ্য-শেল্ফ সরঞ্জামগুলি ব্যবহার করতে দেখা গেছে। এই পদ্ধতি তাদের দূষিত ক্রিয়াকলাপের জন্য বিদ্যমান সরঞ্জামগুলিকে ব্যবহার করতে দেয়, আক্রমণের পরিশীলিততা এবং সম্ভাব্য প্রভাব বাড়ায়।