GodRAT Trojan

সাইবার অপরাধীরা আবারও আর্থিক প্রতিষ্ঠানগুলিকে লক্ষ্যবস্তু করছে, যেখানে ট্রেডিং এবং ব্রোকারেজ সংস্থাগুলি GodRAT নামে একটি অজানা রিমোট অ্যাক্সেস ট্রোজান (RAT) সরবরাহকারী একটি প্রচারণার আওতায় রয়েছে। আক্রমণটি স্কাইপ মেসেঞ্জারের মাধ্যমে শেয়ার করা আর্থিক নথির ছদ্মবেশে দূষিত .SCR ফাইলের মাধ্যমে ছড়িয়ে পড়ে।

স্টেগানোগ্রাফির মাধ্যমে লুকানো পেলোড

সাম্প্রতিক তদন্তে দেখা গেছে যে আক্রমণকারীরা ইমেজ ফাইলের মধ্যে শেলকোড গোপন করার জন্য স্টেগানোগ্রাফি ব্যবহার করছে। এই লুকানো নির্দেশাবলী কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে GodRAT ডাউনলোডের সূত্রপাত করে। প্রমাণ থেকে জানা যায় যে প্রচারণাটি ৯ সেপ্টেম্বর, ২০২৪ সাল থেকে চলছে, এবং সম্প্রতি ১২ আগস্ট, ২০২৫ তারিখে কার্যকলাপ রেকর্ড করা হয়েছে। প্রভাবিত অঞ্চলগুলির মধ্যে রয়েছে হংকং, সংযুক্ত আরব আমিরাত, লেবানন, মালয়েশিয়া এবং জর্ডান।

Gh0st RAT থেকে GodRAT পর্যন্ত

GodRAT কে Gh0st RAT এর আধুনিক বিবর্তন হিসেবে বিবেচনা করা হয়, একটি ট্রোজান যার সোর্স কোড ২০০৮ সালে ফাঁস হয়ে যায় এবং তারপর থেকে চীনা হুমকি গোষ্ঠীগুলি এটি ব্যাপকভাবে গ্রহণ করে। AwesomePuppet এর সাথেও মিল পাওয়া গেছে, যা ২০২৩ সালে প্রকাশিত আরেকটি Gh0st RAT ডেরিভেটিভ এবং প্রফুল্ল গ্রুপ Winnti (APT41) এর সাথে সম্পর্কিত।

ম্যালওয়্যারটি একটি প্লাগইন-ভিত্তিক কাঠামোর সাথে ডিজাইন করা হয়েছে, যা এটি সংবেদনশীল তথ্য সংগ্রহ করতে এবং AsyncRAT এর মতো অতিরিক্ত পেলোড স্থাপন করতে সক্ষম করে।

সংক্রমণ শৃঙ্খল এবং প্রযুক্তিগত ভাঙ্গন

আক্রমণটি শুরু হয় .SCR ফাইলগুলি দিয়ে যা স্ব-এক্সট্র্যাক্টিং এক্সিকিউটেবল হিসাবে কাজ করে। এই ফাইলগুলিতে একাধিক এমবেডেড উপাদান রয়েছে, যার মধ্যে একটি বৈধ এক্সিকিউটেবলের মাধ্যমে সাইডলোড করা ক্ষতিকারক DLLও রয়েছে। এই DLL একটি .JPG ছবিতে লুকানো শেলকোড পুনরুদ্ধার করে, যা শেষ পর্যন্ত GodRAT-এর স্থাপনা সক্ষম করে।

একবার সক্রিয় হয়ে গেলে, ট্রোজানটি TCP এর মাধ্যমে তার C2 সার্ভারের সাথে সংযোগ স্থাপন করে, সিস্টেম ডেটা এবং ইনস্টল করা অ্যান্টিভাইরাস সরঞ্জামগুলির বিশদ সংগ্রহ করে। এই তথ্য প্রেরণের পরে, C2 সার্ভার কমান্ড জারি করে। এই নির্দেশাবলী ম্যালওয়্যারকে নিম্নলিখিতগুলি করতে দেয়:

• মেমরিতে একটি প্রাপ্ত প্লাগইন DLL ইনজেক্ট করুন।
• সকেট বন্ধ করার পর এর প্রক্রিয়াটি বন্ধ করুন।
• CreateProcessA API ব্যবহার করে ফাইলগুলি ডাউনলোড এবং এক্সিকিউট করুন।
• ইন্টারনেট এক্সপ্লোরার কমান্ডের মাধ্যমে নির্দিষ্ট URL গুলি খুলুন

প্লাগইনগুলির সাহায্যে ক্ষমতা সম্প্রসারণ করা

একটি উল্লেখযোগ্য প্লাগইন, ফাইল ম্যানেজার ডিএলএল, আক্রমণকারীদের ভিকটিমদের সিস্টেমের উপর বিস্তৃত নিয়ন্ত্রণ প্রদান করে। এটি ফাইল অনুসন্ধান, ম্যানিপুলেশন এবং ফোল্ডার ব্রাউজিং সক্ষম করে এবং একই সাথে সেকেন্ডারি ম্যালওয়্যারের জন্য ডেলিভারি টুল হিসেবেও কাজ করে। নিশ্চিত পেলোডগুলির মধ্যে রয়েছে:

• ক্রোম এবং এজ ব্রাউজারগুলিকে টার্গেট করে একটি পাসওয়ার্ড চুরিকারী
• আরও ব্যবহারের জন্য AsyncRAT ট্রোজান

GodRAT বিল্ডার এবং পেলোড বিকল্পগুলি

গবেষকরা GodRAT বিল্ডার এবং সম্পূর্ণ ক্লায়েন্ট সোর্স কোড আবিষ্কার করেছেন, যার ফলে এর অভিযোজনযোগ্যতা প্রকাশ পেয়েছে। বিল্ডার আক্রমণকারীদের এক্সিকিউটেবল বা DLL তৈরি করতে দেয়। যদি এক্সিকিউটেবল রুটটি বেছে নেওয়া হয়, তাহলে ব্যবহারকারীরা কোড ইনজেকশনের জন্য বৈধ বাইনারি নির্বাচন করতে পারবেন, যার মধ্যে রয়েছে svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, এবং QQScLauncher.exe।

ফলস্বরূপ পেলোডগুলি .exe, .com, .bat, .scr, এবং .pif সহ বিভিন্ন ফর্ম্যাটে সংরক্ষণ করা যেতে পারে।

লিগ্যাসি কোড, আধুনিক হুমকি

GodRAT-এর আবিষ্কার তুলে ধরে যে, Gh0st RAT-এর মতো লিগ্যাসি ইমপ্লান্ট - যা প্রায় দুই দশক আগে প্রথম চালু হয়েছিল, আজও কীভাবে বড় ঝুঁকি তৈরি করে। ক্রমাগত অভিযোজন এবং পুনর্ব্যবহার আক্রমণকারীদের এই সরঞ্জামগুলিকে প্রাসঙ্গিক রাখতে সাহায্য করে, সাইবার নিরাপত্তার ক্ষেত্রে তাদের দীর্ঘমেয়াদী টিকে থাকা নিশ্চিত করে। GodRAT একটি স্মারক হিসেবে কাজ করে যে, দক্ষ প্রতিপক্ষের হাতে দেওয়া হলে এমনকি পুরানো ম্যালওয়্যার কোডবেসগুলিও শক্তিশালী অস্ত্র হিসেবে থেকে যায়।