GHOSTFORM RAT

GHOSTFORM হল একটি .NET-ভিত্তিক রিমোট অ্যাক্সেস ট্রোজান (RAT) যা একাধিক ক্ষতিকারক ক্ষমতাকে একটি একক এক্সিকিউটেবল বাইনারিতে একত্রিত করার জন্য ডিজাইন করা হয়েছে। ম্যালওয়্যারটি সরাসরি মেমরিতে PowerShell স্ক্রিপ্টগুলি কার্যকর করে, যা ঐতিহ্যবাহী সুরক্ষা সরঞ্জাম দ্বারা সনাক্তকরণের সম্ভাবনা হ্রাস করে। সুরক্ষা ব্যবস্থা আরও এড়াতে, এটি অদৃশ্য উইন্ডোজ ফর্ম এবং বিলম্বিত এক্সিকিউশন টাইমারের মতো কৌশল ব্যবহার করে। এর গোপন আচরণ এবং বিস্তৃত ক্ষমতার কারণে, GHOSTFORM এর যেকোনো সনাক্তকরণ তাৎক্ষণিক অপসারণ এবং ঘটনার প্রতিক্রিয়া পদ্ধতিগুলিকে ট্রিগার করবে।

অ্যাটাক চেইন ওয়ান: মাল্টি-স্টেজ ম্যালওয়্যার ডিপ্লয়মেন্ট

প্রথম আক্রমণ শৃঙ্খলটি শুরু হয় একটি পাসওয়ার্ড-সুরক্ষিত RAR আর্কাইভ সরবরাহের মাধ্যমে যার মধ্যে WinRAR-এর মতো ডিজাইন করা একটি জাল অ্যাপ্লিকেশন রয়েছে। যখন ভুক্তভোগী আর্কাইভটি খোলেন, তখন SPLITDROP নামে পরিচিত একটি ড্রপার কার্যকর করা হয়। এই ড্রপারটি দুটি অতিরিক্ত ম্যালওয়্যার উপাদান ইনস্টল করে: TWINTASK এবং TWINTALK।

SPLITDROP প্রথমে লুকানো আর্কাইভ বের করার জন্য ভিকটিম থেকে পাসওয়ার্ড চায়। যদি আর্কাইভটি ইতিমধ্যেই সিস্টেমে উপস্থিত থাকে, তাহলে এক্সিকিউশন বন্ধ হয়ে যায়। অন্যথায়, ড্রপার ব্যাকগ্রাউন্ডে একটি এমবেডেড পেলোড ডিক্রিপ্ট করে ব্যবহারকারীকে একটি প্রতারণামূলক ত্রুটি বার্তা প্রদর্শন করে। ডিক্রিপ্ট করা কন্টেন্টটি 'C:\ProgramData\PolGuid' ডিরেক্টরিতে সংরক্ষণ করা হয়, যার পরে আক্রমণটি এগিয়ে নেওয়ার জন্য VLC.exe নামে একটি বৈধ এক্সিকিউটেবল চালু করা হয়।

একবার কার্যকর করা হলে, VLC.exe DLL সাইডলোডিংয়ের মাধ্যমে TWINTASK নামক একটি ক্ষতিকারক ডায়নামিক লিঙ্ক লাইব্রেরি লোড করে। এই উপাদানটি আক্রমণকারীর নির্দেশাবলীর জন্য অপেক্ষা করে এবং PowerShell ব্যবহার করে সেগুলি কার্যকর করে। সিস্টেমের মধ্যে স্থায়িত্ব স্থাপন এবং আপোসের পরবর্তী পর্যায়ের সূচনা করার জন্য বিশেষভাবে বেশ কয়েকটি কমান্ড ব্যবহার করা হয়। এই প্রক্রিয়ার অংশ হিসাবে, একটি স্ক্রিপ্ট WingetUI.exe চালু করে এবং রেজিস্ট্রি এন্ট্রি তৈরি করে যাতে সিস্টেম পুনরায় চালু হওয়ার সাথে সাথে VLC.exe এবং WingetUI.exe উভয়ই স্বয়ংক্রিয়ভাবে চলতে পারে।

TWINTALK এবং TWINTASK: সমন্বিত কমান্ড এক্সিকিউশন

যখন WingetUI.exe কার্যকর করা হয়, তখন এটি TWINTALK নামে পরিচিত আরেকটি ক্ষতিকারক মডিউল লোড করে। এই উপাদানটি আক্রমণকারীর কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে সংযোগ স্থাপন করে এবং নির্দেশাবলী পুনরুদ্ধার করে। TWINTALK ক্ষতিগ্রস্ত মেশিনে কমান্ড কার্যকর করার জন্য TWINTASK এর সাথে একসাথে কাজ করে।

TWINTALK তিনটি প্রাথমিক কমান্ড বিভাগ সমর্থন করে:

• সংক্রামিত ডিভাইসে কমান্ড কার্যকর করা
• আক্রমণকারীর পরিকাঠামো থেকে ফাইল ডাউনলোড
• ক্ষতিগ্রস্ত সিস্টেম থেকে আক্রমণকারীর কাছে ফাইল আপলোড করা

এই ক্ষমতার মাধ্যমে, আক্রমণকারীরা সংক্রামিত পরিবেশের উপর ব্যাপক নিয়ন্ত্রণ অর্জন করে।

আক্রমণ শৃঙ্খল দুই: সরাসরি GHOSTFORM কার্যকরকরণ

দ্বিতীয় আক্রমণ শৃঙ্খলটি প্রথম শৃঙ্খলে একাধিক উপাদান দ্বারা পরিচালিত সমস্ত ফাংশন সম্পাদনের জন্য GHOSTFORM ব্যবহার করে। একাধিক ফাইল স্থাপন বা DLL সাইডলোডিংয়ের উপর নির্ভর করার পরিবর্তে, এই ভেরিয়েন্টটি সরাসরি মেমরিতে PowerShell কমান্ডগুলি কার্যকর করে।

সনাক্ত না করার জন্য, ম্যালওয়্যারটি একটি অদৃশ্য উইন্ডোজ ফর্ম তৈরি করে যা পেলোড চালানোর আগে কার্যকর করতে বিলম্ব করে। এছাড়াও, প্রচারণাটি ক্ষতিকারক কার্যকলাপ শুরু করতে ভুক্তভোগীদের উৎসাহিত করার জন্য একটি সামাজিক প্রকৌশল প্রলোভনের অংশ হিসাবে গুগল ফর্ম ব্যবহার করে।

ফাঁকি এবং অধ্যবসায়ের কৌশল

GHOSTFORM-এ সনাক্তকরণ কমাতে এবং দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখার জন্য ডিজাইন করা একাধিক প্রক্রিয়া অন্তর্ভুক্ত করা হয়েছে। ম্যালওয়্যারটি ইচ্ছাকৃতভাবে একটি প্রায় অদৃশ্য উইন্ডোজ ফর্ম তৈরি করে তার কার্যকলাপ বিলম্বিত করে যা কার্যকর করার আগে এলোমেলোভাবে নির্ধারিত বিলম্বের সাথে একটি টাইমার চালায়।

এটি একটি মিউটেক্সও তৈরি করে যাতে নিশ্চিত করা যায় যে ম্যালওয়্যারের শুধুমাত্র একটি উদাহরণ সিস্টেমে চলে এবং সংক্রামিত মেশিনগুলি ট্র্যাক করার জন্য একটি অনন্য বট শনাক্তকারী তৈরি করে। এই ধরণের রিমোট অ্যাক্সেস ট্রোজানগুলি সাধারণত অতিরিক্ত পেলোড স্থাপন করতে, সংবেদনশীল ডেটা এবং ফাইল চুরি করতে, অথবা শিকার পরিবেশের মধ্যে অন্যান্য ক্ষতিকারক ক্রিয়াকলাপ সম্পাদন করতে ব্যবহৃত হয়।

প্রচারণার সাথে সাধারণত যুক্ত মূল ক্ষমতাগুলির মধ্যে রয়েছে:

• অতিরিক্ত ম্যালওয়্যার পেলোড স্থাপন
• সংক্রামিত ডিভাইস থেকে তথ্য এবং ফাইল চুরি
• PowerShell এর মাধ্যমে দূরবর্তী কমান্ড কার্যকরকরণ
• আপোসপ্রাপ্ত সিস্টেমের মধ্যে দীর্ঘমেয়াদী স্থায়িত্ব

ক্লিকফিক্স সোশ্যাল ইঞ্জিনিয়ারিং: মানব-কেন্দ্রিক সংক্রমণ ভেক্টর

এই প্রচারণাটি কেবল ম্যালওয়্যার সরবরাহের উপর নির্ভর করে না। এটি সিস্টেমের সাথে আপস করার জন্য ক্লিকফিক্স নামে পরিচিত একটি সামাজিক প্রকৌশল কৌশলও অন্তর্ভুক্ত করে। আক্রমণকারীরা ব্যবহারকারীদের ক্ষতিকারক কমান্ড কার্যকর করতে চালিত করার জন্য ডিজাইন করা বিশ্বাসযোগ্য জাল ওয়েব পৃষ্ঠা তৈরি করে।

উদাহরণ হিসেবে বলা যায়, সিসকো ওয়েবেক্সের মিটিংয়ের জালিয়াতি অথবা বৈধ বলে মনে হয় এমন প্রতারণামূলক ওয়েব ফর্ম। ভুক্তভোগীদের এমন কমান্ড চালানোর নির্দেশ দেওয়া হয় যা স্বয়ংক্রিয়ভাবে ম্যালওয়্যার ডাউনলোড এবং চালানোর মাধ্যমে অজান্তেই আপস শুরু করে।

ম্যালওয়্যার এবং প্রতারণার মিশ্রণ

এই প্রচারণাটি একটি সমন্বিত পদ্ধতি প্রদর্শন করে যা প্রযুক্তিগত ম্যালওয়্যার স্থাপনের সাথে মনস্তাত্ত্বিক কারসাজির সমন্বয় করে। আক্রমণকারীরা WinRAR ইউটিলিটির মতো ক্ষতিকারক প্রোগ্রামের ছদ্মবেশে দূষিত ফাইলগুলি বিতরণ করে। খোলা হলে, ফাইলগুলি অপারেটিং সিস্টেমে লুকানো ম্যালওয়্যার উপাদানগুলি প্রবেশ করায়।

একবার ইনস্টল হয়ে গেলে, একটি উপাদান ব্যাকগ্রাউন্ডে নীরবে চলে, পর্যায়ক্রমে আক্রমণকারীর সার্ভারে এনক্রিপ্ট করা নির্দেশাবলী পরীক্ষা করে এবং PowerShell এর মাধ্যমে সেগুলি কার্যকর করে। একই সাথে, ClickFix-স্টাইলের আক্রমণগুলি জাল জরিপ, প্রতারণামূলক মিটিং আমন্ত্রণ, অথবা প্রতারণামূলক অনলাইন ফর্মের উপর নির্ভর করে ব্যবহারকারীদের ম্যালওয়্যার ডাউনলোড ট্রিগার করে এমন কমান্ড কার্যকর করতে প্ররোচিত করে।

TWINTASK, TWINTALK, এবং GHOSTFORM-এর মতো উন্নত ম্যালওয়্যার টুলগুলিকে সাবধানে তৈরি সামাজিক প্রকৌশল কৌশলগুলির সাথে একত্রিত করে, হুমকির কারণগুলি সিস্টেম আপসের সাফল্যের হার উল্লেখযোগ্যভাবে বৃদ্ধি করে এবং সংক্রামিত ডিভাইসগুলির উপর স্থায়ী রিমোট কন্ট্রোল বজায় রাখে।