GootBot ম্যালওয়্যার
সাইবারসিকিউরিটি বিশেষজ্ঞরা GootBot নামে পরিচিত একটি অভিনব ম্যালওয়্যার স্ট্রেন শনাক্ত করেছেন, যা সনাক্তকরণ এড়িয়ে গিয়ে আপোষকৃত সিস্টেমের মধ্যে পার্শ্বীয় আন্দোলনকে সহজ করার ক্ষমতা প্রদর্শন করে। এই হুমকির একটি বিশদ বিশ্লেষণ ইঙ্গিত করে যে এটি পূর্বে আবিষ্কৃত GootLoader ম্যালওয়্যার থেকে উদ্ভূত একটি নতুন পুনরাবৃত্তি।
লক্ষণীয়ভাবে, GootLoader গ্রুপ কৌশলগতভাবে এই কাস্টম বটটিকে তাদের আক্রমণ কর্মপ্রবাহের পরবর্তী পর্যায়ে সনাক্তকরণ প্রক্রিয়াগুলিকে ঠেকানোর প্রয়াসে প্রবর্তন করেছে, বিশেষ করে যখন CobaltStrike বা RDP-এর মতো সহজলভ্য কমান্ড-এন্ড-কন্ট্রোল (C2) সরঞ্জাম ব্যবহার করা হয়। এই নতুন উদ্ভূত বৈকল্পিকটি এর হালকা প্রকৃতির কিন্তু উল্লেখযোগ্য কার্যকারিতা দ্বারা চিহ্নিত করা হয়েছে, যা ক্ষতিকারক অভিনেতাদের নেটওয়ার্কের মাধ্যমে প্রচার করতে এবং দ্রুত অতিরিক্ত পেলোড স্থাপন করতে সক্ষম করে।
GootLoader, এর নাম অনুসারে, সার্চ ইঞ্জিন অপ্টিমাইজেশান (SEO) বিষাক্ত কৌশলের মাধ্যমে সম্ভাব্য শিকারদের প্রলুব্ধ করার পরে পরবর্তী পর্যায়ের ম্যালওয়্যার ডাউনলোড করতে বিশেষজ্ঞ। এই ম্যালওয়্যার স্ট্রেনটি Hive0127 নামে পরিচিত একটি হুমকি অভিনেতার সাথে যুক্ত হয়েছে, সাইবার নিরাপত্তা সম্প্রদায়ে UNC2565 হিসাবেও চিহ্নিত৷
GootBot ম্যালওয়্যার আক্রমণ বিষযুক্ত অনুসন্ধান ফলাফল জড়িত হতে পারে
আবিষ্কৃত GootBot প্রচারাভিযানগুলি চুক্তি, আইনি ফর্ম, এবং অন্যান্য ব্যবসা-সম্পর্কিত নথিগুলির মতো বিষয়গুলির সাথে সম্পর্কিত SEO-বিষাক্ত অনুসন্ধান ফলাফলগুলিকে জড়িত একটি নতুন কৌশল গ্রহণ করেছে৷ এই ম্যানিপুলেটেড সার্চের ফলাফলগুলি সন্দেহাতীত ভুক্তভোগীদের আপোস করা ওয়েবসাইটগুলিতে নিয়ে যায় যেগুলি বৈধ ফোরামগুলির সাথে সাদৃশ্যপূর্ণভাবে ডিজাইন করা হয়েছে৷ এখানে, শিকারদের একটি আর্কাইভ ফাইলের মধ্যে চতুরভাবে লুকিয়ে একটি প্রাথমিক পেলোড ডাউনলোড করার জন্য প্রতারিত করা হয়। এই সংরক্ষণাগার ফাইলটিতে একটি গোপন জাভাস্ক্রিপ্ট ফাইল রয়েছে যেটি সক্রিয় হলে, অন্য একটি জাভাস্ক্রিপ্ট ফাইল পুনরুদ্ধার করে। এই দ্বিতীয় ফাইলটি একটি নির্ধারিত টাস্কের মাধ্যমে কার্যকর করা হয়, আপস করা সিস্টেমের মধ্যে এটির স্থিরতা নিশ্চিত করে।
GootBot এর ব্যবহার কৌশলের একটি উল্লেখযোগ্য পরিবর্তনকে নির্দেশ করে। CobaltStrike-এর মতো শোষণ-পরবর্তী কাঠামোর উপর নির্ভর করার পরিবর্তে, GootBot একটি GootLoader সংক্রমণের পরে একটি পেলোড হিসাবে নিযুক্ত করা হয়।
GootBot-কে একটি অস্পষ্ট PowerShell স্ক্রিপ্ট হিসাবে বর্ণনা করা হয়েছে যাতে কমান্ড এবং নিয়ন্ত্রণের উদ্দেশ্যে একটি আপস করা ওয়ার্ডপ্রেস সাইটে সংযোগ করার প্রাথমিক ফাংশন রয়েছে। এই সংযোগের মাধ্যমেই GootBot পরিস্থিতির জটিলতা যোগ করে আরও নির্দেশাবলী পায়। উল্লেখযোগ্যভাবে, প্রতিটি জমা করা GootBot নমুনা একটি স্বতন্ত্র, হার্ড-কোডেড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার নিযুক্ত করে, যা কার্যকরভাবে দূষিত নেটওয়ার্ক ট্র্যাফিক ব্লক করতে চ্যালেঞ্জ করে।
GootBot ম্যালওয়্যার সংক্রামিত ডিভাইসে বিভিন্ন আক্রমণাত্মক ফাংশন সম্পাদন করতে পারে
আক্রমণ শৃঙ্খলের দ্বিতীয় পর্যায়ে, একটি জাভাস্ক্রিপ্ট উপাদান সিস্টেমের তথ্য সংগ্রহ এবং একটি দূরবর্তী সার্ভারে প্রেরণের উদ্দেশ্যে একটি পাওয়ারশেল স্ক্রিপ্ট কার্যকর করে। প্রতিক্রিয়া হিসাবে, রিমোট সার্ভার একটি পাওয়ারশেল স্ক্রিপ্ট পাঠায় যা একটি ধ্রুবক লুপে চলে, হুমকি অভিনেতাকে বিভিন্ন পেলোড বিতরণ করার ক্ষমতা প্রদান করে।
এই পেলোডগুলির মধ্যে একটি হল GootBot, যা তার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে নিয়মিত যোগাযোগ বজায় রাখে, প্রতি 60 সেকেন্ডে পাওয়ারশেল কাজগুলি সম্পাদনের জন্য এবং HTTP POST অনুরোধের মাধ্যমে ফলাফলগুলি প্রেরণের জন্য পৌঁছায়।
GootBot বিভিন্ন ক্ষমতার গর্ব করে, রিকনেসান্স পরিচালনা করা থেকে শুরু করে পরিবেশের মধ্যে পার্শ্বীয় আন্দোলন সক্ষম করা, কার্যকরভাবে আক্রমণের সুযোগ প্রসারিত করা।
এই GootBot ভেরিয়েন্টের উত্থান বিস্তৃত পদক্ষেপগুলিকে আন্ডারস্কোর করে যা হুমকি অভিনেতারা সনাক্তকরণ এড়াতে এবং গোপনে পরিচালনা করতে ইচ্ছুক। কৌশল, কৌশল এবং টুলিংয়ের এই পরিবর্তনটি সফলভাবে শোষণ-পরবর্তী পর্যায়গুলির সাথে যুক্ত ঝুঁকিকে উল্লেখযোগ্যভাবে বৃদ্ধি করে, বিশেষ করে যেগুলি GootLoader-সম্পর্কিত ransomware অ্যাফিলিয়েট কার্যকলাপগুলির সাথে সম্পর্কিত।
