forceCopy Stealer

উত্তর কোরিয়ার সাথে সম্পর্কিত হ্যাকিং গ্রুপ কিমসুকিকে ফোর্সকপি নামক একটি নতুন সনাক্তকৃত তথ্য চুরিকারী ম্যালওয়্যার বিতরণের জন্য স্পিয়ার-ফিশিং আক্রমণ ব্যবহার করতে দেখা গেছে। এই আক্রমণগুলি ফিশিং ইমেল দিয়ে শুরু হয় যার মধ্যে একটি ছদ্মবেশী উইন্ডোজ শর্টকাট (LNK) ফাইল থাকে, যা মাইক্রোসফ্ট অফিস বা পিডিএফ ডকুমেন্টের মতো দেখায়। সন্দেহভাজন প্রাপকরা যারা অজান্তেই ফাইলটি খোলেন তারা একটি চেইন প্রতিক্রিয়া তৈরি করে যা দূষিত কমান্ডগুলি কার্যকর করে।

হুমকিস্বরূপ পেলোড সরবরাহের জন্য বৈধ হাতিয়ারগুলি কাজে লাগানো

ব্যবহারকারী একবার ক্ষতিকারক সংযুক্তির সাথে যোগাযোগ করলে, পাওয়ারশেল বা 'mshta.exe' কার্যকর করে সংক্রমণ প্রক্রিয়া শুরু হয়, যা HTML অ্যাপ্লিকেশন (HTA) ফাইল চালানোর জন্য ব্যবহৃত একটি বৈধ উইন্ডোজ ইউটিলিটি। এই কৌশলটি আক্রমণকারীদের সন্দেহ না করেই বহিরাগত উৎস থেকে অতিরিক্ত ম্যালওয়্যার পেলোড আনতে এবং স্থাপন করতে দেয়।

ট্রোজান এবং রিমোট ডেস্কটপ টুল স্থাপন করা

এই আক্রমণের ফলে শেষ পর্যন্ত পরিচিত হুমকির বিস্তার ঘটে, যার মধ্যে রয়েছে PEBBLEDASH ট্রোজান এবং RDP র‍্যাপারের একটি পরিবর্তিত সংস্করণ, যা দূরবর্তী ডেস্কটপ অ্যাক্সেসের জন্য ব্যবহৃত একটি ওপেন-সোর্স টুল। এর পাশাপাশি, রিমোট ডেস্কটপ প্রোটোকল (RDP) এর মাধ্যমে আপোস করা ডিভাইস এবং আক্রমণকারীদের বহিরাগত নেটওয়ার্কের মধ্যে একটি অবিচ্ছিন্ন সংযোগ নিশ্চিত করার জন্য প্রক্সি ম্যালওয়্যার চালু করা হয়।

একটি কীলগার এবং ফোর্সকপি: সঞ্চিত শংসাপত্রগুলিকে লক্ষ্য করে তৈরি করা

কিমসুকিকে কীস্ট্রোক ক্যাপচার করার জন্য পাওয়ারশেল-ভিত্তিক কীলগার ব্যবহার করতে দেখা গেছে, যা সংবেদনশীল তথ্য চুরি করার ক্ষমতা আরও বাড়িয়ে তোলে। এছাড়াও, নতুন আবিষ্কৃত ফোর্সকপি ম্যালওয়্যারটি বিশেষভাবে ওয়েব ব্রাউজার ডিরেক্টরিতে সংরক্ষিত ফাইলগুলি বের করার জন্য ডিজাইন করা হয়েছে। এটি নিরাপত্তা বিধিনিষেধকে এড়িয়ে সরাসরি ব্রাউজার কনফিগারেশন ফাইলগুলিতে অ্যাক্সেস করার প্রচেষ্টার ইঙ্গিত দেয় যেখানে লগইন শংসাপত্রগুলি প্রায়শই সংরক্ষণ করা হয়।

একটি কৌশলগত পরিবর্তন: হোস্ট নিয়ন্ত্রণের জন্য RDP ব্যবহার

আরডিপি র‍্যাপার এবং প্রক্সি ম্যালওয়্যারের উপর এই গ্রুপের নির্ভরতা তাদের কার্যক্রমে কৌশলগত পরিবর্তনের ইঙ্গিত দেয়। পূর্বে, কিমসুকি মূলত সংক্রামিত সিস্টেম নিয়ন্ত্রণের জন্য কাস্টম-নির্মিত ব্যাকডোর ব্যবহার করত। এখন, ব্যাপকভাবে উপলব্ধ সরঞ্জামগুলি ব্যবহার করে, তারা সনাক্তকরণের সম্ভাবনা হ্রাস করার সাথে সাথে স্থায়িত্ব বজায় রাখার লক্ষ্য রাখে।

APT43: একটি দীর্ঘস্থায়ী সাইবার গুপ্তচরবৃত্তির হুমকি

কিমসুকি, যা APT43, Black Banshee এবং Emerald Sleet এর মতো উপনাম দ্বারাও পরিচিত, উত্তর কোরিয়ার রিকনাইস্যান্স জেনারেল ব্যুরো (RGB) এর অধীনে কাজ করে বলে মনে করা হয়, যা দেশটির শীর্ষস্থানীয় বিদেশী গোয়েন্দা পরিষেবা। কমপক্ষে 2012 সাল থেকে সক্রিয়, এই গোষ্ঠীটির ইমেল সুরক্ষা প্রতিরক্ষা এড়িয়ে অত্যাধুনিক সামাজিক প্রকৌশল আক্রমণ চালানোর দীর্ঘ ইতিহাস রয়েছে।

রাশিয়ান-ভিত্তিক ফিশিং প্রচারণার মাধ্যমে কার্যক্রম সম্প্রসারণ

সাম্প্রতিক অনুসন্ধানে দেখা গেছে যে কিমসুকি রাশিয়ান ইমেল পরিষেবা থেকে প্রেরিত ফিশিং ইমেল ব্যবহার করে শংসাপত্র চুরির প্রচারণা চালাচ্ছে। ২০২৪ সালের ডিসেম্বরে পর্যবেক্ষণ করা এই অভিযোজনটি গোষ্ঠীর বিকশিত কৌশলগুলিকে প্রতিফলিত করে কারণ এটি উচ্চ-মূল্যবান ব্যক্তি এবং সংস্থাগুলিকে লক্ষ্য করার জন্য তার সামাজিক প্রকৌশল কৌশলগুলিকে আরও পরিমার্জন করে চলেছে।