ঘোস্টকল ম্যালওয়্যার ক্যাম্পেইন
সাইবার নিরাপত্তা গবেষকরা Web3 এবং ব্লকচেইন সেক্টরকে লক্ষ্য করে একটি অত্যাধুনিক প্রচারণা আবিষ্কার করেছেন, যার নাম GhostCall। এই অভিযানটি SnatchCrypto নামক একটি বৃহত্তর উত্তর কোরিয়া-সংযুক্ত উদ্যোগের অংশ, যা কমপক্ষে ২০১৭ সাল থেকে সক্রিয়। এই হুমকির জন্য দায়ী করা হয়েছে Lazarus Group সাব-ক্লাস্টার BlueNoroff, যা APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet এবং Stardust Chollima সহ একাধিক উপনাম দ্বারাও পরিচিত।
জাপান, ইতালি, ফ্রান্স, সিঙ্গাপুর, তুরস্ক, স্পেন, সুইডেন, ভারত এবং হংকংয়ের একাধিক ম্যাকওএস হোস্টে এই প্রচারণার শিকার ব্যক্তিদের চিহ্নিত করা হয়েছে।
সুচিপত্র
অত্যাধুনিক সামাজিক প্রকৌশল এবং ফিশিং কৌশল
ঘোস্টকল প্রযুক্তি কোম্পানি এবং ভেঞ্চার ক্যাপিটাল ফার্মের নির্বাহীদের ম্যাকওএস ডিভাইসের উপর খুব বেশি মনোযোগ দেয়। আক্রমণকারীরা টেলিগ্রামের মতো প্ল্যাটফর্মের মাধ্যমে সরাসরি লক্ষ্যবস্তুদের সাথে যোগাযোগ করে, তাদের জুমের মতো ফিশিং ওয়েবসাইটগুলিতে আয়োজিত বিনিয়োগ-সম্পর্কিত সভায় আমন্ত্রণ জানায়।
আক্রমণের মূল দিকগুলি:
- ভুক্তভোগীরা ডিপফেকের পরিবর্তে অন্য ভুক্তভোগীদের আসল রেকর্ডিং সম্বলিত ভুয়া কলে যোগ দেয়।
- কল চলাকালীন, ব্যবহারকারীদের একটি ক্ষতিকারক স্ক্রিপ্টের মাধ্যমে জুম বা টিমস 'আপডেট' করতে বলা হয়।
- স্ক্রিপ্টটি জিপ ফাইল ডাউনলোড করে যা হোস্টে মাল্টি-স্টেজ সংক্রমণ শৃঙ্খল শুরু করে।
এই প্রচারণাটি ২০২৩ সালের মাঝামাঝি থেকে সক্রিয় রয়েছে, সম্ভবত রাস্টবাকেট প্রচারণার পরে, যা ম্যাকওএস-কেন্দ্রিক আক্রমণের জন্য গ্রুপের কৌশলগত কেন্দ্রবিন্দু হিসাবে চিহ্নিত হয়েছিল। পরবর্তীকালে মোতায়েন করা ম্যালওয়্যার পরিবারগুলির মধ্যে রয়েছে KANDYKORN, ObjCShellz এবং TodoSwift।
প্রতারণামূলক জাল জুম এবং টিমস পেজ
ঘোস্টকল ফিশিং পৃষ্ঠাগুলিতে অবতরণকারী লক্ষ্যবস্তুরা প্রথমে একটি লাইভ কলের বিভ্রম দেখতে পায়, যা শীঘ্রই একটি ত্রুটি বার্তা ট্রিগার করে। বার্তাটি ব্যবহারকারীদের কল চালিয়ে যাওয়ার জন্য একটি জুম বা টিমস সফটওয়্যার ডেভেলপমেন্ট কিট (SDK) ডাউনলোড করতে অনুরোধ করে।
- macOS-এ, 'এখনই আপডেট করুন'-এ ক্লিক করলে একটি ক্ষতিকারক AppleScript ডাউনলোড হয়।
- উইন্ডোজে, আক্রমণকারীরা পাওয়ারশেল কমান্ড কার্যকর করতে ক্লিকফিক্স কৌশল ব্যবহার করে।
- ভুয়া সাইটের সাথে প্রতিটি মিথস্ক্রিয়া ট্র্যাক করা হয়, যার ফলে আক্রমণকারীরা শিকারের আচরণ পর্যবেক্ষণ করতে পারে।
এরপর থেকে প্রচারণাটি জুম থেকে মাইক্রোসফ্ট টিমসে সম্প্রসারিত হয়েছে, সংক্রমণ শৃঙ্খল চালিয়ে যাওয়ার জন্য TeamsFx SDK ডাউনলোড ব্যবহার করে।
ম্যালওয়্যার এবং সংক্রমণ শৃঙ্খল
প্ল্যাটফর্ম যাই হোক না কেন, অ্যাপলস্ক্রিপ্ট নকল জুম বা টিমস অ্যাপ ইনস্টল করে এবং ডাউনট্রয় ডাউনলোড করে, যা পাসওয়ার্ড ম্যানেজারদের কাছ থেকে পাসওয়ার্ড সংগ্রহ করে এবং রুট সুবিধা সহ অতিরিক্ত ম্যালওয়্যার ইনস্টল করে। ঘোস্টকল আটটি স্বতন্ত্র আক্রমণ চেইন ব্যবহার করে, যার মধ্যে রয়েছে:
জুমক্লাচ / টিমসক্লাচ - সুইফট-ভিত্তিক ইমপ্লান্ট জুম বা টিমসের ছদ্মবেশে; এক্সফিল্ট্রেশনের জন্য সিস্টেম পাসওয়ার্ড অনুরোধ করে।
DownTroy v1 – Go-ভিত্তিক ড্রপার রিবুট না হওয়া পর্যন্ত অতিরিক্ত স্ক্রিপ্ট ডাউনলোড করার জন্য AppleScript-ভিত্তিক DownTroy চালু করে।
CosmicDoor – C++ লোডার (GillyInjector) একটি Nim ব্যাকডোর ইনজেক্ট করে; ধ্বংসাত্মক ফাইল মুছে ফেলতে সক্ষম; SilentSiphon ডাউনলোড করে।
RooTroy – নিমকোর লোডার ডিভাইস রিকনেসান্স এবং ম্যালওয়্যার এক্সিকিউশনের জন্য Go ব্যাকডোর ইনজেক্ট করে।
রিয়েলটাইমট্রয় - নিমকোর লোডার গো ব্যাকডোর ইনজেক্ট করে; ফাইল এবং সিস্টেম নিয়ন্ত্রণের জন্য WSS প্রোটোকলের মাধ্যমে যোগাযোগ করে।
SneakMain – অতিরিক্ত AppleScript কমান্ড চালানোর জন্য Nimcore লোডারের মাধ্যমে নিম পেলোড কার্যকর করা হয়।
DownTroy v2 – CoreKitAgent ড্রপার অতিরিক্ত স্ক্রিপ্ট পুনরুদ্ধারের জন্য AppleScript-ভিত্তিক DownTroy (NimDoor) চালু করেছে।
SysPhon – RustBucket বংশ থেকে C++ ডাউনলোডার; রিকনেসান্স এবং বাইনারি পুনরুদ্ধারের জন্য ব্যবহৃত।
অতিরিক্তভাবে, সাইলেন্টসাইফন নিম্নলিখিতগুলি থেকে সংবেদনশীল তথ্য সংগ্রহ করে:
- অ্যাপল নোটস, টেলিগ্রাম, ওয়েব ব্রাউজার এক্সটেনশন, পাসওয়ার্ড ম্যানেজার
- ডেভেলপার এবং ক্লাউড প্ল্যাটফর্ম: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- ব্লকচেইন প্ল্যাটফর্ম: সুই, সোলানা, নিয়ার, অ্যাপটোস, অ্যালগোরান্ড
- সিস্টেম টুলস: ডকার, কুবারনেটস, ওপেনএআই
বানোয়াট সভার মাধ্যমে পুনর্বিবেচনা
ভুয়া মিটিংয়ের ভিডিও ফিডগুলো আক্রমণকারীরা রেকর্ড করেছিল, অন্যদিকে অংশগ্রহণকারীদের প্রোফাইল ছবিগুলো লিঙ্কডইন, ক্রাঞ্চবেস, অথবা এক্স (টুইটার) এর মতো পেশাদার নেটওয়ার্ক থেকে নেওয়া হয়েছিল। কিছু ছবি GPT-4o ব্যবহার করে উন্নত করা হয়েছিল, যা সোশ্যাল ইঞ্জিনিয়ারিং কৌশলে বাস্তবতার একটি স্তর যোগ করে।
ঘোস্টকল ওয়েব৩ এবং ভেঞ্চার ক্যাপিটালের নির্বাহীদের লক্ষ্য করে সাইবার হুমকির বিবর্তনের উদাহরণ তুলে ধরে, উন্নত সামাজিক প্রকৌশল, ক্রস-প্ল্যাটফর্ম ম্যালওয়্যার এবং অত্যাধুনিক ডেটা সংগ্রহের কৌশলগুলির সমন্বয়ে। উত্তর কোরিয়া-সম্পর্কিত এই প্রচারণা মোকাবেলায় সতর্কতা এবং বহু-স্তরীয় প্রতিরক্ষা অত্যন্ত গুরুত্বপূর্ণ।
