IDAT লোডার
সাইবারসিকিউরিটি গবেষকরা একটি আক্রমণ অভিযান আবিষ্কার করেছেন, যাকে আইডিএটি লোডার নামে পরিচিত একটি ম্যালওয়্যার লোডার দ্বারা সহায়তা করা Remcos RAT নামক একটি ইউক্রেনীয় ট্রোজানের জন্য হুমকি হিসাবে চিহ্নিত করা হয়েছে৷ ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA), হুমকি অভিনেতাকে UAC-0184 (TA544) হিসাবে ট্র্যাক করছে, আক্রমণটিকে দায়ী করেছে৷
আইডিএটি লোডার ব্যবহারের মাধ্যমে সম্পাদিত আক্রমণটি একটি কৌশল হিসাবে স্টেগানোগ্রাফিকে অন্তর্ভুক্ত করে। যদিও স্টেগানোগ্রাফিক, বা 'স্টেগো' কৌশলগুলি ব্যাপকভাবে স্বীকৃত। স্টেগানোগ্রাফিক কৌশলগুলি মনোযোগ আকর্ষণ না করে গোপন যোগাযোগ সক্ষম করতে চিত্র, অডিও ফাইল বা অন্যান্য ডিজিটাল সামগ্রীর মধ্যে ডেটা লুকানোর মতো অন্য মাধ্যমের মধ্যে তথ্য গোপন করা জড়িত। প্রতিরক্ষা ব্যবস্থা এড়াতে তাদের ভূমিকা বোঝা অত্যন্ত গুরুত্বপূর্ণ।
সুচিপত্র
IDAT লোডার নেক্সট-স্টেজ ম্যালওয়্যার পেলোডের ডেলিভারি সহজতর করে
আইডিএটি লোডার, হাইজ্যাক লোডার নামে আরেকটি লোডার পরিবারের সাথে মিল রয়েছে, বেশ কয়েক মাস ধরে DanaBot , SystemBC এবং রেডলাইন স্টিলার সহ বিভিন্ন পেলোড সক্রিয়ভাবে মোতায়েন করছে। এই লোডারটিকে ফিশিং আক্রমণের মাধ্যমে Remcos RAT এবং SystemBC ছড়িয়ে দেওয়ার জন্য TA544 হিসাবে চিহ্নিত একজন হুমকি অভিনেতা দ্বারা নিযুক্ত করা হয়েছে।
ফিশিং ক্যাম্পেইন, প্রাথমিকভাবে CERT-UA দ্বারা 2024 সালের জানুয়ারী মাসের প্রথম দিকে প্রকাশ করা হয়, একটি সংক্রমণ চেইন শুরু করতে যুদ্ধ-থিমযুক্ত টোপ ব্যবহার করে। এই চেইনটি শেষ পর্যন্ত IDAT লোডার স্থাপনের দিকে নিয়ে যায়, যা একটি এমবেডেড স্টেগানোগ্রাফিক PNG ব্যবহার করে Remcos RAT সনাক্ত করতে এবং বের করার জন্য।
Remcos RAT প্রায়ই সাইবার অপরাধমূলক প্রচারণায় মোতায়েন করা হয়
REMCOS RAT একটি প্রচলিত রিমোট অ্যাক্সেস ট্রোজান হিসাবে দাঁড়িয়েছে যা সাইবার অপরাধ এবং গুপ্তচরবৃত্তি উভয় প্রচেষ্টায় ব্যাপকভাবে নিযুক্ত। কম্পিউটারের নিয়ন্ত্রণ দখল করার ক্ষমতার জন্য বিখ্যাত, REMCOS কীস্ট্রোক, অডিও, ভিডিও, স্ক্রিনশট এবং সিস্টেম ডেটা সংগ্রহ করতে পারে এবং অতিরিক্ত ম্যালওয়্যার পেলোড সরবরাহ করতে সহায়তা করে। সাধারণত, এই ম্যালওয়্যারটি ফিশিং ইমেলের মাধ্যমে প্রচারিত হয় যাতে ক্ষতিকারক সংযুক্তি বা লিঙ্ক থাকে, যার ফলে RAT ইনস্টল করা হয়। উল্লেখযোগ্যভাবে, REMCOS ম্যালওয়্যার লোডার সহ বিভিন্ন মাধ্যমে বিতরণ করা লক্ষ্য করা গেছে। 2010-এর দশকের মাঝামাঝি থেকে ম্যালওয়্যারটি দূষিতভাবে ব্যবহার করা হয়েছে।
REMCOS সফলভাবে কার্যকর করার পরে, হুমকি অভিনেতারা লক্ষ্য সিস্টেমের উপর ব্যাপক নিয়ন্ত্রণ এবং নজরদারি ক্ষমতা অর্জন করে। এটি তাদের একটি বর্ধিত সময়ের মধ্যে গোপনীয়ভাবে সংবেদনশীল ডেটা বের করতে সক্ষম করে, সম্ভাব্যভাবে সনাক্তকরণ এড়িয়ে যায়। লক্ষ্যের উপর নির্ভর করে এই ধরনের সংবেদনশীল তথ্যের ব্যবহার, ব্ল্যাকমেইলের সম্মুখীন হওয়ার ঝুঁকি বহন করে, কোম্পানির ডেটা আপোস করা হলে সম্ভাব্য চাকরি হারানোর এবং সাংগঠনিক ডেটা চুরির ঝুঁকি বহন করে। এই চুরি করা ডেটা তারপরে বড় আকারের, অত্যাধুনিক আক্রমণ সাজানোর জন্য ব্যবহার করা যেতে পারে, যার ফলে ক্ষতিগ্রস্ত সংস্থা বা ব্যক্তিদের জীবিকাকে গুরুতর এবং সম্ভবত অপূরণীয় ক্ষতি হতে পারে।
ইউক্রেন রাশিয়ার সাথে সংযুক্ত হ্যাকার গ্রুপ দ্বারা সাইবার অপরাধমূলক আক্রমণের লক্ষ্যবস্তু রয়ে গেছে
CERT-UA কুকবক্স ব্যাকডোর দিয়ে ইউক্রেনের সশস্ত্র বাহিনী দ্বারা ব্যবহৃত কম্পিউটার সিস্টেমগুলিকে সংক্রামিত করার লক্ষ্যে একটি লক্ষ্যবস্তু সাইবার আক্রমণের বিষয়েও সতর্ক করেছে৷
CERT-UA-এর মতে, একজন অজ্ঞাত ব্যক্তি '1_ф_5.39-2024.xlsm' নামের একটি XLS ডকুমেন্ট বেশ কয়েকজন সামরিক কর্মীদের মধ্যে সিগন্যাল মেসেঞ্জারের মাধ্যমে বিতরণ করেছে, দাবি করেছে যে রিপোর্ট তৈরিতে সমস্যা রয়েছে৷ উল্লিখিত ফাইলটিতে একটি অতিরিক্ত VBA স্ক্রিপ্ট রয়েছে যা 'mob2002.data' নামক একটি পাওয়ারশেল স্ক্রিপ্ট ডাউনলোড এবং সম্পাদনকে ট্রিগার করেছিল।
GitHub থেকে ডাউনলোড করা PowerShell স্ক্রিপ্ট OS রেজিস্ট্রিতে কিছু পরিবর্তন করে। আরও নির্দিষ্টভাবে, এটি 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache'-এ একটি বেস64-এনকোডেড পেলোড ফেলে দেয়, যা শেষ পর্যন্ত কুকবক্স ম্যালওয়্যারকে কার্যকর করে। কুকবক্স হল একটি পাওয়ারশেল স্ক্রিপ্ট যা পাওয়ারশেল cmdlets ডাউনলোড এবং কার্যকর করার জন্য কার্যকারিতা প্রয়োগ করে।
ডাইনামিক ডিএনএস পরিষেবাগুলি (যেমন gotdns.ch, myftp.biz) এবং ক্লাউডফ্লেয়ার ওয়ার্কার্স কমান্ড এবং কন্ট্রোল সার্ভার পরিচালনার জন্য ব্যবহার করা হয়। গবেষকদের দ্বারা প্রকাশিত তথ্য অনুসারে, UAC-0149 হিসাবে ট্র্যাক করা বর্ণিত কার্যকলাপটি কমপক্ষে 2023 সালের শরত্কাল থেকে চলছে।
