Interlock RAT
ইন্টারলক র্যানসমওয়্যার অপারেশনের পেছনে থাকা সাইবার অপরাধীরা তাদের কাস্টম রিমোট অ্যাক্সেস ট্রোজান (RAT) এর একটি নতুন বিকশিত PHP ভেরিয়েন্ট, ইন্টারলক RAT, যা NodeSnake নামেও পরিচিত, ব্যবহার করে তাদের প্রচেষ্টা আরও বাড়িয়ে তুলছে। এই আপগ্রেড করা হুমকিটি ফাইলফিক্স নামে একটি বিকশিত ডেলিভারি মেকানিজম ব্যবহার করে একটি বিস্তৃত প্রচারণায় লক্ষ্য করা গেছে, যা পূর্বে পরিচিত ক্লিকফিক্স কৌশলের একটি শাখা। এই উন্নয়নটি গ্রুপের আক্রমণ কৌশলে একটি উল্লেখযোগ্য পরিবর্তনকে চিহ্নিত করে, তাদের নাগাল প্রসারিত করে এবং ক্রমবর্ধমান প্রযুক্তিগত পরিশীলিততা প্রদর্শন করে।
সুচিপত্র
স্টিলথি এন্ট্রি: স্ক্রিপ্ট ইনজেকশন এবং ট্র্যাফিক পুনঃনির্দেশনা
২০২৫ সালের মে মাস থেকে সক্রিয় এই প্রচারণা শুরু হয়, যেখানে ক্ষতিগ্রস্ত ওয়েবসাইটগুলিতে HTML কোডের মধ্যে একটি আপাতদৃষ্টিতে সৌম্য একক-লাইন জাভাস্ক্রিপ্ট স্নিপেট স্থাপন করা হয়। এই স্ক্রিপ্টটি ট্র্যাফিক ডিস্ট্রিবিউশন সিস্টেম (TDS) হিসেবে কাজ করে, যা লক্ষ্যবস্তুতে আসা দর্শকদের জাল CAPTCHA যাচাইকরণ পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করার জন্য IP-ভিত্তিক ফিল্টারিং ব্যবহার করে। এই প্রতারণামূলক পৃষ্ঠাগুলি ব্যবহারকারীদের ক্ষতিকারক PowerShell স্ক্রিপ্টগুলি কার্যকর করার জন্য ClickFix-ভিত্তিক প্রলোভনের উপর নির্ভর করে। ফলাফল হল ইন্টারলক RAT ইনস্টল করা, যা আক্রমণকারীদের শিকারের সিস্টেমে একটি অবস্থান তৈরি করে।
ফাইলফিক্স: একটি অস্ত্রযুক্ত ডেলিভারি উদ্ভাবন
২০২৫ সালের জুনে পরিলক্ষিত সর্বশেষ প্রচারাভিযানগুলিতে মূল সংক্রমণ ভেক্টর হিসেবে ক্লিকফিক্সের আরও উন্নত সংস্করণ ফাইলফিক্সের ব্যবহার দেখানো হয়েছে। ফাইলফিক্স ব্যবহারকারীদের ক্ষতিকারক কমান্ড চালানোর জন্য সামাজিকভাবে ইঞ্জিনিয়ার করার জন্য উইন্ডোজ ফাইল এক্সপ্লোরারের ঠিকানা বার ব্যবহার করে। মূলত ২০২৫ সালের জুনে ধারণার প্রমাণ হিসাবে প্রদর্শিত হয়েছিল, ফাইলফিক্স এখন ইন্টারলক RAT-এর PHP ভেরিয়েন্ট বিতরণের জন্য কার্যকর করা হয়েছে এবং কিছু ক্ষেত্রে, এই স্থাপনাটি আরও ঐতিহ্যবাহী Node.js-ভিত্তিক ভেরিয়েন্ট ইনস্টল করার পূর্বসূরী হিসাবে কাজ করে।
মাল্টি-স্টেজ পেলোড এবং স্টিলথ ক্ষমতা
একবার স্থাপন করা হলে, ইন্টারলক RAT JSON ফর্ম্যাটে হোস্ট রিকনেসান্স এবং সিস্টেম তথ্য এক্সফিল্ট্রেশন শুরু করে। এটি বিশেষাধিকার স্তর (USER, ADMIN, অথবা SYSTEM) পরীক্ষা করে এবং একটি রিমোট কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে। অতিরিক্ত পেলোড, হয় EXE অথবা DLL ফাইল, কার্যকর করার জন্য আনা হয়।
- স্থায়িত্ব প্রক্রিয়াগুলির মধ্যে রয়েছে:
- স্টার্টআপ এক্সিকিউশন বজায় রাখার জন্য উইন্ডোজ রেজিস্ট্রি পরিবর্তন করা।
- রিমোট ডেস্কটপ প্রোটোকল (RDP) অ্যাক্সেসের মাধ্যমে পার্শ্বীয় চলাচল সক্ষম করা।
তাছাড়া, একটি উল্লেখযোগ্য ফাঁকি দেওয়ার কৌশল হল ক্লাউডফ্লেয়ার টানেল সাবডোমেন ব্যবহার করা, যা C2 সার্ভারের প্রকৃত অবস্থান গোপন করে। টানেলগুলি ব্যাহত হলে সংযোগ বজায় রাখার জন্য হার্ড-কোডেড আইপি ঠিকানাগুলি ব্যাকআপ হিসাবে কাজ করে।
হুমকির সন্ধান: অতীত লক্ষ্য এবং বর্তমান উদ্দেশ্য
২০২৫ সালের শুরুর দিকে, ইন্টারলক RAT যুক্তরাজ্যের স্থানীয় সরকার এবং শিক্ষা প্রতিষ্ঠানের উপর আক্রমণে জড়িত ছিল, Node.js ভেরিয়েন্ট ব্যবহার করে। তবে, সাম্প্রতিক ওয়েব ডেভেলপমেন্ট ভাষা, PHP-তে স্থানান্তর, বিস্তৃত পরিসরের শিল্পকে লক্ষ্য করে আরও সুবিধাবাদী পদ্ধতির ইঙ্গিত দেয়। PHP-তে রূপান্তর সংক্রমণ ভেক্টরগুলিকে বিস্তৃত করার কৌশলগত সিদ্ধান্তের ইঙ্গিত দেয়, যা সম্ভাব্যভাবে দুর্বল ওয়েব-ভিত্তিক অবকাঠামোকে কাজে লাগায়।
প্রচারণার মূল সূচকসমূহ
ইন্টারলকের সাম্প্রতিক কার্যক্রমের নিম্নলিখিত বৈশিষ্ট্যগুলি সম্পর্কে ভুক্তভোগী এবং সাইবার নিরাপত্তা কর্মীদের সতর্ক থাকা উচিত:
প্রাথমিক আক্রমণ ভেক্টর:
- বৈধ কিন্তু ঝুঁকিপূর্ণ ওয়েবসাইটগুলিতে একক-লাইন জাভাস্ক্রিপ্ট ইনজেকশন।
- আইপি ফিল্টারিং ব্যবহার করে জাল ক্যাপচা পৃষ্ঠাগুলিতে পুনঃনির্দেশনা।
সংক্রমণ পরবর্তী ম্যালওয়্যার আচরণ:
- হোস্ট রিকনেসান্স এবং JSON-ফর্ম্যাটেড সিস্টেম তথ্য এক্সফিল্ট্রেশন।
- বিশেষাধিকার পরীক্ষা এবং দূরবর্তী পেলোড সম্পাদন।
- চলাচলের জন্য রেজিস্ট্রি-ভিত্তিক অধ্যবসায় এবং RDP শোষণ।
উপসংহার: ইন্টারলক গ্রুপের ক্রমবর্ধমান হুমকি প্রোফাইল
ইন্টারলক RAT-এর PHP ভেরিয়েন্টের উত্থান গ্রুপটির ক্রমবর্ধমান বহুমুখীতা এবং প্রতিরক্ষামূলক প্রতিকারের চেয়ে এগিয়ে থাকার অভিপ্রায় প্রদর্শন করে। ওয়েব স্ক্রিপ্টিং এবং নেটিভ সিস্টেম বৈশিষ্ট্য উভয়কেই কাজে লাগিয়ে, ইন্টারলক আক্রমণকারীরা ঐতিহ্যবাহী ম্যালওয়্যার ডেলিভারি এবং দৈনন্দিন সিস্টেম কার্যকারিতার সৃজনশীল অপব্যবহারের মধ্যে রেখা ঝাপসা করে দিচ্ছে। নিরাপত্তা দলগুলিকে সতর্ক থাকা উচিত এবং এই ধরনের ক্রমবর্ধমান হুমকি সনাক্ত এবং ব্লক করার জন্য স্তরযুক্ত প্রতিরক্ষা বাস্তবায়ন করা উচিত।
