GRAPELOADER ম্যালওয়্যার

রাশিয়ার রাষ্ট্র-সমর্থিত হ্যাকিং গ্রুপ APT29, যা কোজি বিয়ার বা মিডনাইট ব্লিজার্ড নামেও পরিচিত, ইউরোপ জুড়ে কূটনৈতিক সংস্থাগুলিকে লক্ষ্য করে একটি নতুন ফিশিং প্রচারণা শুরু করেছে। এই প্রচারণায় WINELOADER Backdoor এর একটি পুনর্নির্মিত সংস্করণ এবং একটি নতুন আবিষ্কৃত ম্যালওয়্যার লোডার, GRAPELOADER ব্যবহার করা হয়েছে। আক্রমণকারীরা ওয়াইন-টেস্টিং ইভেন্টের আমন্ত্রণের ছদ্মবেশে প্রাপকদের একটি হুমকিস্বরূপ ZIP আর্কাইভ চালানোর জন্য প্ররোচিত ইমেল প্রলোভন ব্যবহার করে।

এই ম্যালওয়্যারটির সাথে পরিচিত হোন: GRAPELOADER এবং WINELOADER

সংক্রমণের পরবর্তী পর্যায়ে WINELOADER একটি মডুলার ব্যাকডোর হিসেবে কাজ করলেও, প্রাথমিক পর্যায়ে GRAPELOADER হল পছন্দের হাতিয়ার। GRAPELOADER পরিচালনা করে:

• সিস্টেম ফিঙ্গারপ্রিন্টিং
• উইন্ডোজ রেজিস্ট্রি পরিবর্তনের মাধ্যমে স্থায়িত্ব
• সংক্রামিত হোস্টগুলিতে পেলোড ডেলিভারি

একবার GRAPELOADER এর স্থায়িত্ব অর্জন করা হয়ে গেলে, ম্যালওয়্যারটি একটি অন্তহীন লুপে প্রবেশ করে, প্রতি 60 সেকেন্ডে এর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে পৌঁছায়। প্রাথমিক যোগাযোগের সময়, এটি UserName, ComputerName, ProcessName এবং ProcessPID এর মতো গুরুত্বপূর্ণ সিস্টেমের বিবরণ সংগ্রহ করে। এই তথ্যটি একটি হার্ডকোডেড 64-অক্ষরের হেক্সাডেসিমেল স্ট্রিং সহ প্যাকেজ করা হয়—সম্ভবত একটি প্রচারণা বা সংস্করণ শনাক্তকারী হিসাবে কাজ করে—এবং একটি HTTPS POST অনুরোধের মাধ্যমে C2 সার্ভারে প্রেরণ করা হয়।

তাদের ভিন্ন ভূমিকা থাকা সত্ত্বেও, উভয় টুল একই রকম কোড স্ট্রাকচার ভাগ করে এবং স্ট্রিং এনক্রিপশন এবং রানটাইম API রেজলভিং সহ উন্নত অস্পষ্টতা কৌশল ব্যবহার করে। GRAPELOADER কে ROOTSAW, একটি পুরানো HTA ডাউনলোডার, এর আরও গোপন উত্তরসূরি হিসাবে বিবেচনা করা হয়।

কৌশলগত প্রতারণা: ওয়াইন-টেস্টিং লোভ থেকে শুরু করে ম্যালওয়্যার কার্যকরকরণ পর্যন্ত

bakenhof.com এবং silry.com ডোমেইন থেকে আসা ফিশিং ইমেলগুলি ইউরোপীয় পররাষ্ট্র মন্ত্রণালয়ের ছদ্মবেশে তৈরি করা হয় এবং প্রাপকদের একটি ভুয়া ওয়াইন-টেস্টিং ইভেন্টে আমন্ত্রণ জানানো হয়। সংযুক্ত জিপ আর্কাইভ, wine.zip, তিনটি মূল ফাইল ধারণ করে:

• AppvIsvSubsystems64.dll – DLL সাইডলোডিংয়ের জন্য ব্যবহৃত একটি নির্ভরতা
• wine.exe – একটি বৈধ পাওয়ারপয়েন্ট এক্সিকিউটেবল যা ম্যালওয়্যার চালু করার জন্য ব্যবহৃত হয়
• ppcore.dll – সাইডলোডিংয়ের মাধ্যমে চালু হওয়া ক্ষতিকারক DLL (GRAPELOADER)

একবার কার্যকর করা হলে, ম্যালওয়্যারটি প্রতিটি সিস্টেম বুটে wine.exe চালানোর জন্য রেজিস্ট্রি পরিবর্তন করে স্থায়িত্ব নিশ্চিত করে।

একটি বিস্তৃত জাল: ইউরোপের সীমানা ছাড়িয়ে

এই অভিযানটি মূলত ইউরোপীয় পররাষ্ট্র মন্ত্রণালয় এবং দূতাবাসগুলিকে লক্ষ্য করে। তবে, প্রমাণ থেকে জানা যাচ্ছে যে মধ্যপ্রাচ্যে নিযুক্ত কূটনৈতিক কর্মীরাও এই অভিযানের শিকার হতে পারেন। গবেষকরা উল্লেখ করেছেন যে GRAPELOADER কেবল সিস্টেম ডেটা একটি বহিরাগত সার্ভারে ছড়িয়ে দেয় না বরং WINELOADER কে প্রাথমিক পেলোড হিসাবে সরবরাহ করার পথও প্রশস্ত করে। WINELOADER-এর আপডেট করা সংস্করণগুলি মিলে যাওয়া সংকলন টাইমস্ট্যাম্পগুলির সাথে প্রকাশিত হয়েছে, যা ম্যালওয়্যার পরিবারকে আরও একত্রিত করেছে।

উপসংহার: APT29 এর আর্সেনালে GRAPELOADER এর ভূমিকা

পুরোনো টুলগুলিকে GRAPELOADER দিয়ে প্রতিস্থাপন করে, APT29 সাইবার গুপ্তচরবৃত্তিতে তার ক্রমাগত উদ্ভাবন প্রদর্শন করে। এই প্রচারণাটি উদাহরণ দেয় যে কীভাবে অত্যাধুনিক সামাজিক প্রকৌশল, গোপন ম্যালওয়্যার ডিজাইনের সাথে মিলিত হয়ে, উচ্চ-মূল্যবান সরকারি লক্ষ্যবস্তুতে অনুপ্রবেশের জন্য একটি শক্তিশালী কৌশল হিসাবে রয়ে গেছে।