হ্যাডুকেন ম্যালওয়্যার

সাইবারসিকিউরিটি বিশেষজ্ঞরা লিনাক্স সিস্টেমের লক্ষ্যে একটি নতুন ম্যালওয়্যার প্রচারাভিযান আবিষ্কার করেছেন, যা অবৈধ ক্রিপ্টোকারেন্সি মাইনিং এবং বটনেট ম্যালওয়্যার ছড়িয়ে দেওয়ার উপর দৃষ্টি নিবদ্ধ করে। এই প্রচারাভিযানটি স্পষ্টভাবে ওরাকল ওয়েবলজিক সার্ভারকে লক্ষ্য করে, হ্যাডুকেন নামে একটি ম্যালওয়্যার বৈকল্পিক সরবরাহ করে। একবার কার্যকর করা হলে, Hadooken সুনামি ম্যালওয়্যার ইনস্টল করে এবং একটি ক্রিপ্টো মাইনার চালু করে। আক্রমণটি সুপরিচিত দুর্বলতা এবং সিস্টেমের ভুল কনফিগারেশনগুলিকে কাজে লাগায়, যেমন দুর্বল শংসাপত্র, প্রাথমিক অ্যাক্সেস পেতে এবং দুর্বল দৃষ্টান্তগুলিতে স্বেচ্ছাচারী কোড চালানোর জন্য।

হ্যাডুকেন ম্যালওয়ারের অ্যাটাক চেইন

এই আক্রমণে দুটি প্রায় অভিন্ন পেলোড স্থাপন করা জড়িত: একটি পাইথনে লেখা এবং অন্যটি শেল স্ক্রিপ্ট হিসাবে। উভয়ই রিমোট সার্ভার ('89.185.85.102' বা '185.174.136.204') থেকে Hadooken ম্যালওয়্যার আনার জন্য দায়ী৷

শেল স্ক্রিপ্ট সংস্করণ অতিরিক্তভাবে SSH ডেটা ধারণকারী ডিরেক্টরিগুলি স্ক্যান করে, যেমন ব্যবহারকারীর শংসাপত্র, হোস্টের বিবরণ এবং গোপনীয়তাগুলি, পরিচিত সার্ভারগুলিকে লক্ষ্য করার জন্য এই তথ্যটি ব্যবহার করে। তারপরে এটি নেটওয়ার্ক বা সংযুক্ত পরিবেশের মধ্যে পাশের দিকে চলে যায়, Hadooken ম্যালওয়্যারকে আরও ছড়িয়ে দেয়।

Hadooken দুটি প্রধান উপাদান নিয়ে গঠিত: একটি ক্রিপ্টোকারেন্সি মাইনার এবং একটি ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) বটনেট যা সুনামি (ওরফে কাইটেন) নামে পরিচিত। ম্যালওয়্যারটির কুবারনেটস ক্লাস্টারে জেনকিন্স এবং ওয়েবলজিক পরিষেবাগুলিতে আক্রমণ করার ইতিহাস রয়েছে। এছাড়াও ম্যালওয়্যার বিভিন্ন বিরতিতে ক্রিপ্টো মাইনার চালানোর জন্য ক্রোন কাজ তৈরি করে সংক্রামিত হোস্টের উপর স্থিরতা নিশ্চিত করে।

সনাক্তকরণ এড়াতে, Hadooken বেস64-এনকোডেড পেলোড, বৈধ প্রক্রিয়ার সাথে মিশ্রিত করার জন্য 'bash' এবং 'java'-এর মতো নিরীহ নাম দিয়ে খনির পেলোড ছদ্মবেশী করে এবং এর ক্ষতিকারক কার্যকলাপের কোনো চিহ্ন ঢেকে রাখার জন্য সম্পাদনের পরে নিদর্শন মুছে ফেলা সহ বেশ কিছু কৌশল ব্যবহার করে।

সাইবার ক্রাইম গ্রুপের সাথে সংযোগ

সাইবারসিকিউরিটি গবেষকরা আইপি অ্যাড্রেস 89.185.85.102কে জার্মানিতে হোস্টিং কোম্পানি Aeza International LTD (AS210644)-এর অধীনে নিবন্ধিত হিসাবে চিহ্নিত করেছেন৷ ফেব্রুয়ারী 2024-এ, এই আইপিটি 8220 গ্যাং দ্বারা একটি ক্রিপ্টোকারেন্সি প্রচারণার সাথে লিঙ্ক করা হয়েছিল, যা Apache Log4j এবং Atlassian Confluence Server এবং Data Center-এর দুর্বলতাকে কাজে লাগিয়েছিল।

দ্বিতীয় আইপি ঠিকানা, 185.174.136.204, যদিও বর্তমানে নিষ্ক্রিয়, এটিও Aeza Group Ltd. (AS216246) এর সাথে যুক্ত। জুলাই 2024-এ উল্লিখিত হিসাবে, Aeza হল একটি বুলেটপ্রুফ হোস্টিং প্রদানকারী যার অপারেশন মস্কো M9 এবং ফ্রাঙ্কফুর্টে দুটি ডেটা সেন্টার। Aeza এর দ্রুত বৃদ্ধি এবং অপারেশনাল মডেলটি রাশিয়ান বুলেটপ্রুফ হোস্টিং পরিষেবাগুলির সাথে সংযুক্ত তরুণ বিকাশকারীদের নিয়োগের জন্য দায়ী, যা সাইবার অপরাধমূলক কার্যকলাপের জন্য নিরাপদ আশ্রয় প্রদান করে।