EndRAT ম্যালওয়্যার

কোন্নি থ্রেট গ্রুপের একটি অত্যাধুনিক সাইবার অভিযান দীর্ঘমেয়াদী অনুপ্রবেশ, ডেটা পাচার এবং পার্শ্বীয় বিস্তারের একটি পরিকল্পিত কৌশল প্রদর্শন করে। এই অপারেশনের কেন্দ্রবিন্দুতে রয়েছে EndRAT ম্যালওয়্যার, যা একটি শক্তিশালী রিমোট অ্যাক্সেস ট্রোজান। এটিকে স্থায়ীত্ব বজায় রাখতে এবং নীরবে সংবেদনশীল তথ্য বের করে নেওয়ার জন্য তৈরি করা হয়েছে, এবং একই সাথে বিশ্বস্ত যোগাযোগ মাধ্যম ব্যবহার করে এর বিস্তার ঘটানো হয়।

প্রতারণামূলক প্রবেশ পথ: অস্ত্রসজ্জিত স্পিয়ার-ফিশিং কৌশল

এই অনুপ্রবেশ শুরু হয় একটি অত্যন্ত সতর্কতার সাথে তৈরি করা স্পিয়ার-ফিশিং ইমেলের মাধ্যমে, যা প্রাপককে উত্তর কোরিয়ার মানবাধিকার বিষয়ে একজন প্রভাষক হিসেবে নিয়োগের একটি সরকারি বিজ্ঞপ্তির ছদ্মবেশে পাঠানো হয়। এই সোশ্যাল ইঞ্জিনিয়ারিং কৌশলটি বিশ্বাসযোগ্যতা এবং কৌতূহলকে কাজে লাগানোর জন্য পরিকল্পিত।

প্রাপক সংযুক্ত ZIP আর্কাইভটি খোলার সাথে সাথে একটি ক্ষতিকারক উইন্ডোজ শর্টকাট (LNK) ফাইল চালু হয়ে যায়। এই প্রক্রিয়াটি একটি বহু-পর্যায়ের সংক্রমণ শৃঙ্খল শুরু করে:

• LNK ফাইলটি একটি রিমোট সার্ভার থেকে একটি সেকেন্ডারি পেলোড পুনরুদ্ধার করে।
• দীর্ঘমেয়াদী অ্যাক্সেস নিশ্চিত করার জন্য নির্ধারিত টাস্কের মাধ্যমে স্থায়িত্ব প্রতিষ্ঠা করা হয়।
• ভুক্তভোগীর মনোযোগ অন্যদিকে সরানোর জন্য একটি ছদ্মবেশী পিডিএফ ডকুমেন্ট দেখানো হয়, আর সেই সময়ে পটভূমিতে ক্ষতিকারক প্রক্রিয়াগুলো চলতে থাকে।

এই প্রাথমিক আপসটি তাৎক্ষণিক সন্দেহ সৃষ্টি না করেই EndRAT মোতায়েনের সুযোগ করে দেয়।

EndRAT উন্মোচিত: অবিরাম নিয়ন্ত্রণ এবং তথ্য পাচার

AutoIt ব্যবহার করে তৈরি EndRAT (যা EndClient RAT নামেও পরিচিত) এই আক্রমণের কার্যকরী মেরুদণ্ড হিসেবে কাজ করে। একবার সিস্টেমে সংযুক্ত হয়ে গেলে, এটি আক্রান্ত হোস্টের ওপর সম্পূর্ণ দূরবর্তী নিয়ন্ত্রণ সক্ষম করে তোলে।

EndRAT-এর প্রধান সক্ষমতাগুলো হলো:

• কমান্ড কার্যকর করার জন্য রিমোট শেল অ্যাক্সেস
• ফাইল সিস্টেম ম্যানিপুলেশন এবং ডেটা এক্সফিলট্রেশন
• ভুক্তভোগী এবং আক্রমণকারীর মধ্যে সুরক্ষিত ডেটা স্থানান্তর
• গোপন কৌশলের মাধ্যমে স্থায়ী অবস্থান

ম্যালওয়্যারটি দীর্ঘ সময় ধরে গোপন থাকে, যার ফলে অভ্যন্তরীণ নথি এবং সংবেদনশীল তথ্য ক্রমাগত নজরদারি ও হাতিয়ে নেওয়া সম্ভব হয়।

স্তরভিত্তিক হুমকি মোতায়েন: স্থিতিস্থাপকতার জন্য একাধিক RAT

আরও ফরেনসিক বিশ্লেষণে দেখা যায় যে EndRAT বিচ্ছিন্নভাবে স্থাপন করা হয় না। RftRAT এবং RemcosRAT-এর সাথে সংযুক্ত AutoIt-ভিত্তিক স্ক্রিপ্টসহ অতিরিক্ত ক্ষতিকারক উপাদানগুলো আক্রান্ত পরিবেশে প্রবেশ করানো হয়।

এই স্তরভিত্তিক মোতায়েন কৌশলটি নির্দেশ করে যে, উচ্চ-মূল্যের লক্ষ্যবস্তুগুলোকে অতিরিক্ত নিয়ন্ত্রণ ব্যবস্থার অধীনে রাখা হয়, যা একটি ম্যালওয়্যার স্ট্রেইন শনাক্ত বা অপসারণ করা হলেও কার্যক্রমের ধারাবাহিকতা নিশ্চিত করে। একাধিক RAT ফ্যামিলির উপস্থিতি আক্রমণকারীর অ্যাক্সেস বজায় রাখা এবং প্রতিরক্ষামূলক ব্যবস্থার সাথে খাপ খাইয়ে নেওয়ার ক্ষমতাকে উল্লেখযোগ্যভাবে বাড়িয়ে তোলে।

বিশ্বাসকে অস্ত্র হিসেবে ব্যবহার: ম্যালওয়্যার বিতরণের মাধ্যম হিসেবে কাকাওটক

এই ক্যাম্পেইনের একটি প্রধান বৈশিষ্ট্য হলো আক্রান্ত সিস্টেমে ইনস্টল করা কাকাওটক ডেস্কটপ অ্যাপ্লিকেশনটির অপব্যবহার। প্রমাণীকৃত ব্যবহারকারী সেশনগুলোকে কাজে লাগিয়ে আক্রমণকারীরা ভুক্তভোগীদেরকে তাদের অজান্তেই ম্যালওয়্যারের বাহক বানিয়ে ফেলে।

হ্যাক হওয়া অ্যাকাউন্টটি ব্যবহার করে, ভুক্তভোগীর নেটওয়ার্কের মধ্যে থাকা পরিচিতদের কাছে বেছে বেছে ক্ষতিকারক জিপ ফাইল পাঠানো হয়। এই ফাইলগুলোকে প্রায়শই উত্তর কোরিয়া-সম্পর্কিত বিষয়বস্তু হিসেবে ছদ্মবেশে পাঠানো হয়, যা এগুলোর সাথে যোগাযোগ এবং তা কার্যকর করার সম্ভাবনা বাড়িয়ে দেয়।

এই কৌশলটি প্রতিষ্ঠিত বিশ্বাসের সম্পর্ককে কাজে লাগায়, যা সংক্রমণের সাফল্যের হার উল্লেখযোগ্যভাবে বৃদ্ধি করে এবং সামাজিক ও পেশাগত নেটওয়ার্ক জুড়ে লক্ষ্যভিত্তিক পার্শ্বীয় চলাচলকে সম্ভব করে তোলে।

কৌশলের বিবর্তন: বার্তা অপব্যবহার থেকে ডিভাইস নাশকতা পর্যন্ত

এই অভিযানটি নভেম্বর ২০২৫-এ পূর্বে পরিলক্ষিত কার্যকলাপের উপর ভিত্তি করে গড়ে উঠেছে, যখন একই হুমকি গোষ্ঠী ক্ষতিকারক আর্কাইভ বিতরণের জন্য কাকাওটক সেশন ব্যবহার করেছিল। সেই অভিযানে, আক্রমণকারীরা ভুক্তভোগীদের অ্যান্ড্রয়েড ডিভাইস দূর থেকে মুছে ফেলার জন্য চুরি করা গুগল ক্রেডেনশিয়ালও কাজে লাগিয়েছিল।

মেসেজিং প্ল্যাটফর্মের অব্যাহত ব্যবহার, প্রচলিত গণ-বিতরণ কৌশলের পরিবর্তে অ্যাকাউন্ট হাইজ্যাকিং এবং বিশ্বস্ত যোগাযোগ মাধ্যমের ওপর কেন্দ্র করে গড়ে ওঠা একটি বিবর্তিত কৌশলকে তুলে ধরে।

কৌশলগত মূল্যায়ন: একটি স্থায়ী এবং অভিযোজিত হুমকি মডেল

এই অপারেশনটি একটি অত্যন্ত সমন্বিত, বহু-পর্যায়ের আক্রমণ কাঠামোর উদাহরণ, যা প্রাথমিক অনুপ্রবেশের অনেক ঊর্ধ্বে বিস্তৃত। স্পিয়ার-ফিশিং, গোপনীয়ভাবে সিস্টেমে টিকে থাকা, EndRAT-এর মাধ্যমে উন্নত রিমোট অ্যাক্সেস এবং অ্যাকাউন্ট-ভিত্তিক বিস্তারের সমন্বয়ের মাধ্যমে, আক্রমণকারী তার অনুপ্রবেশ কৌশলে গভীরতা ও ব্যাপকতা উভয়ই অর্জন করে।

সতর্কতার সাথে তৈরি করা বিভ্রান্তিকর তথ্যের সাথে নির্দিষ্ট যোগাযোগকে লক্ষ্যবস্তু করার বিষয়টি একটি পরিকল্পিত এবং গোয়েন্দা-চালিত পদ্ধতিরই ইঙ্গিত দেয়। কেন্দ্রীয় নিয়ন্ত্রণ ব্যবস্থা হিসেবে EndRAT-এর উপর নির্ভরতা আধুনিক সাইবার গুপ্তচরবৃত্তি কার্যক্রমে একটি গুরুত্বপূর্ণ হাতিয়ার হিসেবে এর ভূমিকাকে আরও শক্তিশালী করে, যা বিশ্বস্ত নেটওয়ার্ক জুড়ে নিরবচ্ছিন্ন প্রবেশাধিকার, তথ্য চুরি এবং সম্প্রসারণযোগ্য সংক্রমণ শৃঙ্খল তৈরি করতে সক্ষম করে।