Hidden Risk Malware
উত্তর কোরিয়ার হুমকি গোষ্ঠী BlueNoroff-এর একটি নতুন প্রচারাভিযান ক্রিপ্টোকারেন্সি ব্যবসার উপর ফোকাস করছে, ম্যাকওএস সিস্টেমকে লক্ষ্য করে একটি অত্যাধুনিক মাল্টি-স্টেজ ম্যালওয়্যার ব্যবহার করে। গবেষকদের দ্বারা লুকানো ঝুঁকি ডাব করা, প্রচারাভিযানটি ক্রিপ্টোকারেন্সি মার্কেটের সাম্প্রতিক উন্নয়ন সম্পর্কে বানোয়াট খবর ধারণ করে এমন ইমেল দিয়ে শিকারদের প্ররোচিত করে। এই আক্রমণগুলির সাথে জড়িত ম্যালওয়্যারগুলি macOS-এ একটি উদ্ভাবনী অধ্যবসায় কৌশল নিযুক্ত করে, যা সর্বশেষ সিস্টেম আপডেটগুলি দ্বারা সনাক্ত না করার জন্য ডিজাইন করা হয়েছে, কার্যকরভাবে সুরক্ষা সতর্কতাগুলিকে বাইপাস করে৷
BlueNoroff হল একটি সাইবার ক্রাইম গ্রুপ যা ক্রিপ্টোকারেন্সি চুরির জন্য কুখ্যাত এবং এর আগে macOS সিস্টেমকে টার্গেট করেছে। অতীতের আক্রমণে, তারা ObjCShellz নামে পরিচিত একটি পেলোড ব্যবহার করেছিল, যা তাদের আপস করা ম্যাকগুলিতে দূরবর্তী শেল স্থাপন করতে দেয়।
কিভাবে লুকানো রাস্ক সংক্রমণ চেইন বাহিত হয়
আক্রমণটি একটি ফিশিং ইমেল সরবরাহের মাধ্যমে শুরু হয় যাতে ক্রিপ্টোকারেন্সি-সম্পর্কিত খবর রয়েছে বলে মনে হয়, প্রায়শই এটিকে বিশ্বাসযোগ্যতা দিতে একজন সুপরিচিত ক্রিপ্টো প্রভাবশালীর কাছ থেকে ফরওয়ার্ড করা বার্তা হিসাবে উপস্থাপন করা হয়। ইমেলটিতে একটি লিঙ্ক রয়েছে, যা গুরুত্বপূর্ণ তথ্য সহ একটি পিডিএফ-এর দিকে নিয়ে যায়, কিন্তু এটি আসলে আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি ডোমেনে শিকারকে নির্দেশ করে, delphidigital.org৷
গবেষকরা দেখেছেন যে URL বর্তমানে একটি বিটকয়েন ETF নথির একটি নিরীহ সংস্করণ হোস্ট করে, শিরোনাম পরিবর্তন করে, যদিও মাঝে মাঝে এটি বিটকয়েন প্রাইস.অ্যাপের নিউ সার্জ বিহাইন্ড হিডেন রিস্ক শিরোনামের একটি অনিরাপদ অ্যাপ্লিকেশন বান্ডেলের প্রথম পর্যায়ে নিয়ে যায়।
এই প্রচারণার জন্য, হুমকি অভিনেতা একটি ছদ্মবেশ হিসাবে টেক্সাস বিশ্ববিদ্যালয়ের একটি বৈধ একাডেমিক কাগজ ব্যবহার করেছিলেন। আক্রমণের প্রথম পর্যায়ে একটি ড্রপার অ্যাপ্লিকেশন জড়িত, একটি বৈধ অ্যাপল ডেভেলপার আইডি, 'Avantis Regtech প্রাইভেট লিমিটেড (2S8XHJ7948),' এর অধীনে স্বাক্ষরিত এবং নোটারি করা হয়েছে, যা অ্যাপল তখন থেকে প্রত্যাহার করেছে।
একবার কার্যকর করা হলে, ড্রপার Google ড্রাইভ লিঙ্ক থেকে একটি ডিকয় পিডিএফ ডাউনলোড করে এবং শিকারকে বিভ্রান্ত রাখতে এটি ডিফল্ট পিডিএফ ভিউয়ারে খোলে। এদিকে, আক্রমণের পরবর্তী পর্যায়ে গোপনে matuaner.com থেকে ডাউনলোড করা হয়। উল্লেখযোগ্যভাবে, আক্রমণকারীরা অ্যাপলের অ্যাপ ট্রান্সপোর্ট সিকিউরিটি প্রোটোকলগুলিকে কার্যকরভাবে বাইপাস করে তাদের ডোমেনে অনিরাপদ HTTP সংযোগের অনুমতি দেওয়ার জন্য অ্যাপের Info.plist ফাইলটি পরিবর্তন করেছে।
লুকানো ঝুঁকি দ্বারা শোষিত একটি অভিনব অধ্যবসায় প্রক্রিয়া
দ্বিতীয় পর্যায়ের পেলোড, 'গ্রোথ' নামে একটি x86_64 Mach-O বাইনারি যা Rosetta এমুলেশন ফ্রেমওয়ার্ক দিয়ে সজ্জিত ইন্টেল এবং অ্যাপল সিলিকন উভয় ডিভাইসেই কাজ করে। এটি ব্যবহারকারীর হোম ডিরেক্টরিতে লুকানো .zshenv কনফিগারেশন ফাইল পরিবর্তন করে স্থিরতা নিশ্চিত করে, যা Zsh সেশনের সময় লোড হয়।
সফল সংক্রমণ নিশ্চিত করতে এবং অধ্যবসায় বজায় রাখতে, ম্যালওয়্যারটি /tmp/ ডিরেক্টরিতে একটি গোপন 'টাচ ফাইল' তৈরি করে, যা রিবুট বা ব্যবহারকারী লগইন করার পরেও পেলোড সক্রিয় রাখতে সাহায্য করে। এই কৌশলটি এটিকে ম্যাকওএস 13 এবং পরবর্তী স্থিরতা সনাক্তকরণ সিস্টেমগুলিকে বাইপাস করতে দেয়, যা সাধারণত ব্যবহারকারীদের সতর্ক করে যখন নতুন লঞ্চ এজেন্ট ইনস্টল করা হয়। একটি দূষিত Zshenv ফাইল দিয়ে সিস্টেমকে সংক্রামিত করে, ম্যালওয়্যারটি একটি শক্তিশালী স্থিরতা প্রতিষ্ঠা করে। যদিও এই পদ্ধতিটি সম্পূর্ণ নতুন নয়, এটি প্রথমবারের মতো গবেষকরা দেখেছেন যে এটি ম্যালওয়্যার লেখকদের দ্বারা লাইভ আক্রমণে নিযুক্ত হয়েছে৷
একবার সিস্টেমে প্রবেশ করা হলে, ব্যাকডোরটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ করে, প্রতি 60 সেকেন্ডে নতুন কমান্ড পরীক্ষা করে। এটি যে ব্যবহারকারী-এজেন্ট স্ট্রিং নিয়োগ করে তা 2023 সালে BlueNoroff-এর জন্য দায়ী পূর্ববর্তী আক্রমণগুলির সাথে যুক্ত ছিল৷ পর্যবেক্ষণ করা কমান্ডগুলির মধ্যে রয়েছে অতিরিক্ত পেলোড ডাউনলোড করা এবং কার্যকর করা, ফাইলগুলি পরিবর্তন বা চুরি করার জন্য শেল কমান্ড চালানো, বা প্রক্রিয়াটি সম্পূর্ণভাবে বন্ধ করা৷
বিশেষজ্ঞরা লক্ষ্য করেছেন যে গোপন ঝুঁকি প্রচারণাটি গত 12 মাস ধরে সক্রিয় রয়েছে, উত্তর কোরিয়ার অন্যান্য হ্যাকার অপারেশনগুলিতে দেখা যায় এমন সাধারণ সামাজিক মিডিয়া 'গ্রুমিং' কৌশলের পরিবর্তে আরও সরাসরি ফিশিং পদ্ধতি গ্রহণ করেছে। গবেষকরা নতুন অ্যাপল ডেভেলপার অ্যাকাউন্টগুলিকে সুরক্ষিত করার এবং তাদের পেলোডগুলি নোটারাইজ করার জন্য BlueNoroff-এর চলমান ক্ষমতাকেও নির্দেশ করেছেন, যা তাদের macOS গেটকিপার সুরক্ষাগুলিকে বাইপাস করতে দেয়৷
