FatalRAT Phishing Attacks

এশিয়া-প্যাসিফিক (এপিএসি) অঞ্চল জুড়ে শিল্প প্রতিষ্ঠানগুলি ফ্যাটালআরএটি হুমকি প্রদানের লক্ষ্যে একটি অত্যাধুনিক ফিশিং প্রচারণার কেন্দ্রবিন্দুতে পরিণত হয়েছে। সাইবার অপরাধীদের দ্বারা সতর্কতার সাথে পরিচালিত এই অভিযানটি তাদের আক্রমণের অবকাঠামোকে সহজতর করার জন্য মাইকক্লাউড এবং ইউডাও ক্লাউড নোটসের মতো বৈধ চীনা ক্লাউড পরিষেবাগুলির উপর নির্ভর করে। আক্রমণকারীরা কার্যকরভাবে সনাক্তকরণ এড়াতে পারে এবং একটি বহু-পর্যায়ের পেলোড ডেলিভারি সিস্টেম স্থাপন করে তাদের অনুপ্রবেশ দীর্ঘায়িত করে।

গুরুত্বপূর্ণ ক্ষেত্রগুলিতে উচ্চ-মূল্যের লক্ষ্যমাত্রা

এই প্রচারণা সরকারি প্রতিষ্ঠান এবং উৎপাদন, নির্মাণ, তথ্যপ্রযুক্তি, টেলিযোগাযোগ, স্বাস্থ্যসেবা, বিদ্যুৎ, জ্বালানি, সরবরাহ এবং পরিবহন সহ প্রধান শিল্পগুলির উপর দৃষ্টি নিবদ্ধ করেছে। ক্ষতিগ্রস্ত অঞ্চলের তালিকা তাইওয়ান, মালয়েশিয়া, চীন, জাপান, থাইল্যান্ড, দক্ষিণ কোরিয়া, সিঙ্গাপুর, ফিলিপাইন, ভিয়েতনাম এবং হংকংকে বিস্তৃত করে।

সর্বাধিক প্রভাবের জন্য ভাষা-নির্দিষ্ট লোভ

ফিশিং ইমেল সংযুক্তি বিশ্লেষণ করে দেখা যায় যে এই প্রচারণা মূলত চীনা ভাষাভাষী ব্যক্তিদের লক্ষ্য করে তৈরি করা হয়েছে। এই পদ্ধতিটি এমন প্রতিষ্ঠানগুলিকে ভেঙে ফেলার একটি পরিকল্পিত প্রচেষ্টার ইঙ্গিত দেয় যেখানে ম্যান্ডারিন প্রধান ভাষা, যা সাফল্যের উচ্চ সম্ভাবনা নিশ্চিত করে।

FatalRAT এর বিতরণ পদ্ধতির বিবর্তন

অতীতে FatalRAT বিভিন্ন বিতরণ পদ্ধতির সাথে যুক্ত ছিল। পূর্ববর্তী প্রচারণাগুলি হুমকি ছড়িয়ে দেওয়ার জন্য ভুয়া Google বিজ্ঞাপন ব্যবহার করেছিল। ২০২৩ সালের সেপ্টেম্বরে, গবেষকরা Gh0st RAT, Purple Fox এবং ValleyRAT এর মতো অন্যান্য হুমকির পাশাপাশি FatalRAT বিতরণকারী আরেকটি ফিশিং প্রচারণা নথিভুক্ত করেছিলেন।

সিলভার ফক্স এপিটির সাথে সংযোগ

এই প্রচারণাগুলির মধ্যে কিছু সিলভার ফক্স এপিটি-র সাথে সম্পর্কিত বলে মনে করা হচ্ছে, যা চীনা ভাষাভাষী ব্যবহারকারী এবং জাপানি সংস্থাগুলিকে লক্ষ্য করে হুমকি তৈরির জন্য পরিচিত। এই সংযোগটি এই আক্রমণগুলির পিছনে সম্ভাব্য ভূ-রাজনৈতিক উদ্দেশ্যগুলিকে আরও জোর দেয়।

আক্রমণ শৃঙ্খল: ফিশিং ইমেল থেকে সম্পূর্ণ আপস পর্যন্ত

আক্রমণটি শুরু হয় একটি ফিশিং ইমেল দিয়ে যাতে একটি চীনা ভাষার ফাইলের নাম ব্যবহার করা হয়। খোলা হলে, এই সংরক্ষণাগারটি একটি প্রথম-পর্যায়ের লোডার চালু করে যা একটি DLL ফাইল এবং একটি FatalRAT কনফিগারেটর পুনরুদ্ধার করতে Youdao Cloud Notes-এর সাথে যোগাযোগ করে। কনফিগারেটরটি, পরিবর্তে, সন্দেহ কমাতে একটি ডিকয় ফাইল খোলার সময় কনফিগারেশন ডেটা বের করার জন্য আরেকটি Youdao Cloud নোট অ্যাক্সেস করে।

স্টিলথের জন্য DLL সাইড-লোডিং ব্যবহার করা

এই প্রচারণার একটি গুরুত্বপূর্ণ বৈশিষ্ট্য হল সংক্রমণ ক্রমকে এগিয়ে নিতে DLL সাইড-লোডিং কৌশল ব্যবহার করা। দ্বিতীয় পর্যায়ের DLL লোডারটি myqcloud.com-এ হোস্ট করা একটি রিমোট সার্ভার থেকে FatalRAT পেলোড ডাউনলোড এবং ইনস্টল করে, যেখানে ব্যবহারকারীদের প্রতারণা করার জন্য একটি ভুয়া ত্রুটি বার্তা প্রদর্শন করা হয়। বৈধ বাইনারিগুলির উপর নির্ভরতা আক্রমণ শৃঙ্খলকে নিয়মিত সিস্টেম কার্যকলাপের সাথে মিশে যেতে দেয়, যা সনাক্তকরণ প্রচেষ্টাকে জটিল করে তোলে।

উন্নত ফাঁকি কৌশল খেলায়

FatalRAT ভার্চুয়াল মেশিন এবং স্যান্ডবক্স পরিবেশ সনাক্ত করার জন্য ডিজাইন করা হয়েছে, এটি কার্যকর করার আগে 17 টি ভিন্ন পরীক্ষা করে। যদি কোনও পরীক্ষা ব্যর্থ হয়, বিশ্লেষণ এড়াতে ম্যালওয়্যারটি বন্ধ হয়ে যায়। উপরন্তু, এটি rundll32.exe প্রক্রিয়ার সমস্ত উদাহরণ বন্ধ করে দেয় এবং আরও নির্দেশাবলীর জন্য এর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ করার আগে সিস্টেমের তথ্য সংগ্রহ করে, যার মধ্যে ইনস্টল করা সুরক্ষা সমাধান সম্পর্কে বিশদ অন্তর্ভুক্ত থাকে।

একটি বহুমুখী এবং হুমকিস্বরূপ হাতিয়ার

FatalRAT-এর ব্যাপক ক্ষমতা রয়েছে যা আক্রমণকারীদের ক্ষতিগ্রস্ত ডিভাইসের উপর উল্লেখযোগ্য নিয়ন্ত্রণ প্রদান করে। ট্রোজান কীস্ট্রোক লগ করতে পারে, মাস্টার বুট রেকর্ড (MBR) ম্যানিপুলেট করতে পারে, স্ক্রিন ফাংশন নিয়ন্ত্রণ করতে পারে, গুগল ক্রোম এবং ইন্টারনেট এক্সপ্লোরার থেকে ব্রাউজারের ডেটা মুছে ফেলতে পারে, AnyDesk এবং UltraViewer-এর মতো রিমোট অ্যাক্সেস টুল ইনস্টল করতে পারে, ফাইল অপারেশন চালাতে পারে, প্রক্সি সংযোগ সক্ষম করতে পারে এবং ইচ্ছামত প্রক্রিয়া বন্ধ করতে পারে।

FatalRAT-এর পিছনে হুমকির কারণ চিহ্নিত করা

যদিও সঠিক অপরাধীদের পরিচয় এখনও অজানা, একাধিক অভিযানের কৌশলগত মিল থেকে বোঝা যায় যে এই আক্রমণগুলির উৎস একটি সাধারণ। গবেষকরা মাঝারি আত্মবিশ্বাসের সাথে বিশ্বাস করেন যে, একজন চীনা-ভাষী হুমকিদাতা দায়ী। আক্রমণ চক্র জুড়ে চীনা-ভাষা পরিষেবা এবং ইন্টারফেসের ধারাবাহিক ব্যবহার এই তত্ত্বকে আরও সমর্থন করে।

বৃহত্তর চিত্র: দীর্ঘমেয়াদী সাইবার গুপ্তচরবৃত্তির একটি হাতিয়ার

FatalRAT-এর বিস্তৃত কার্যকারিতা সাইবার অপরাধীদের দীর্ঘমেয়াদী অনুপ্রবেশের জন্য অফুরন্ত সুযোগ প্রদান করে। নেটওয়ার্ক জুড়ে ছড়িয়ে পড়ার, অতিরিক্ত সরঞ্জাম ইনস্টল করার, সিস্টেমে হেরফের করার এবং গোপনীয় তথ্য বের করে দেওয়ার ক্ষমতা এটিকে ক্রমাগত আক্রমণকারীদের হাতে একটি শক্তিশালী অস্ত্র করে তোলে। পূর্ববর্তী আক্রমণগুলির সাথে ওভারল্যাপ এবং চীনা ভাষার সম্পদের পুনরাবৃত্তির সাথে মিল গুপ্তচরবৃত্তি এবং তথ্য চুরির লক্ষ্যে একটি সুসংগঠিত অভিযানের ইঙ্গিত দেয়।