LeakNet র‍্যানসমওয়্যার

লিকনেট নামক র‍্যানসমওয়্যার অপারেশনটি তার প্রধান প্রবেশ পথ হিসেবে ক্লিকফিক্স সোশ্যাল ইঞ্জিনিয়ারিং কৌশলকে কাজে লাগিয়ে অনুপ্রবেশের রণকৌশলে একটি উল্লেখযোগ্য বিবর্তন এনেছে। এই পদ্ধতিটি মনগড়া সিস্টেম ত্রুটি সমাধানের অজুহাতে ব্যবহারকারীদেরকে ক্ষতিকারক কমান্ড চালাতে প্ররোচিত করে। প্রাথমিক অ্যাক্সেস ব্রোকারদের কাছ থেকে চুরি করা ক্রেডেনশিয়াল কেনার মতো প্রচলিত অ্যাক্সেস পদ্ধতির বিপরীতে, এই কৌশলটি সরাসরি ব্যবহারকারীর বিশ্বাস এবং তার স্বাভাবিক আচরণকে কাজে লাগায়।

হ্যাক হওয়া কিন্তু অন্যথায় বৈধ ওয়েবসাইটগুলোকে অস্ত্র হিসেবে ব্যবহার করে নকল ক্যাপচা (CAPTCHA) ভেরিফিকেশন প্রম্পট পাঠানো হয়। এই প্রম্পটগুলো ব্যবহারকারীদের উইন্ডোজ রান ডায়ালগের মাধ্যমে একটি ক্ষতিকারক msiexec.exe কমান্ড কপি ও এক্সিকিউট করতে নির্দেশ দেয়। যেহেতু এই প্রক্রিয়াটি দৈনন্দিন সিস্টেম কার্যকলাপের অনুকরণ করে, তাই আক্রমণটিকে সাধারণ বলে মনে হয় এবং তাৎক্ষণিক সন্দেহ তৈরি হওয়া এড়ানো যায়। এই ব্যাপক ও সুযোগসন্ধানী কৌশলটি কোনো রকম বৈষম্য ছাড়াই একাধিক শিল্পে লক্ষ্যবস্তু নির্ধারণ করতে সক্ষম করে।

কৌশলগত পরিবর্তন: প্রাথমিক প্রবেশাধিকার দালালদের থেকে স্বাধীনতা

LeakNet-এর ClickFix-এ স্থানান্তর একটি সুচিন্তিত কার্যপরিচালনাগত পরিবর্তনের প্রতিনিধিত্ব করে। তৃতীয় পক্ষের ক্রেডেনশিয়াল সরবরাহকারীদের উপর নির্ভরতা দূর করার মাধ্যমে, গ্রুপটি অ্যাক্সেস অর্জনের সাথে সম্পর্কিত খরচ এবং বিলম্ব উভয়ই হ্রাস করে। এই স্বাধীনতা একটি প্রধান প্রতিবন্ধকতা দূর করে, যা ক্যাম্পেইনগুলোকে আরও দ্রুত এবং দক্ষতার সাথে প্রসারিত হতে সাহায্য করে।

এছাড়াও, আক্রমণকারী-নিয়ন্ত্রিত সিস্টেমের পরিবর্তে আপোসকৃত বৈধ পরিকাঠামোর ব্যবহার শনাক্তযোগ্য নেটওয়ার্ক সূচকগুলোকে উল্লেখযোগ্যভাবে হ্রাস করে। এর ফলে প্রচলিত পরিধি-ভিত্তিক প্রতিরক্ষা ব্যবস্থা কম কার্যকর হয়ে পড়ে, কারণ ক্ষতিকারক কার্যকলাপ বিশ্বস্ত ট্র্যাফিকের সাথে নির্বিঘ্নে মিশে যায়।

ফাইলবিহীন এক্সিকিউশন: ডিনো-ভিত্তিক লোডারের কার্যকারিতা

এই আক্রমণগুলোর একটি প্রধান প্রযুক্তিগত বৈশিষ্ট্য হলো ডেনো জাভাস্ক্রিপ্ট রানটাইমের উপর নির্মিত একটি পর্যায়ক্রমিক কমান্ড-অ্যান্ড-কন্ট্রোল লোডারের ব্যবহার। এই লোডারটি ডিস্কে লেখা এড়িয়ে সরাসরি মেমরিতে বেস৬৪-এনকোডেড জাভাস্ক্রিপ্ট কার্যকর করে এবং ফরেনসিক প্রমাণের পরিমাণ কমিয়ে আনে।

একবার সক্রিয় হলে, লোডারটি বেশ কয়েকটি গুরুত্বপূর্ণ কাজ সম্পাদন করে:

• পরিবেশগত তথ্য সংগ্রহের জন্য ক্ষতিগ্রস্ত সিস্টেমটির প্রোফাইল তৈরি করে।
• সেকেন্ডারি পেলোড পুনরুদ্ধার করার জন্য একটি বাহ্যিক সার্ভারের সাথে যোগাযোগ স্থাপন করে।
• একটি পোলিং পদ্ধতির মাধ্যমে স্থায়িত্ব বজায় রাখে, যা ক্রমাগত অতিরিক্ত কোড সংগ্রহ ও কার্যকর করে।

এই ফাইলবিহীন এক্সিকিউশন মডেলটি গোপনীয়তা বাড়ায় এবং প্রচলিত নিরাপত্তা টুলগুলোর দ্বারা শনাক্তকরণের প্রচেষ্টাকে আরও জটিল করে তোলে।

সামঞ্জস্যপূর্ণ শোষণ-পরবর্তী কৌশলপুস্তিকা

প্রাথমিক প্রবেশাধিকারের ভিন্নতা থাকা সত্ত্বেও, লিকনেট-এর কার্যক্রমগুলো অনুপ্রবেশ-পরবর্তী একটি অনুমানযোগ্য কর্মপ্রবাহে একীভূত হয়। এই সামঞ্জস্য রক্ষাকারীদের র‍্যানসমওয়্যার স্থাপনের আগেই শনাক্তকরণ এবং প্রতিরোধের জন্য মূল্যবান সুযোগ প্রদান করে।

সাধারণ আক্রমণ অনুক্রমের মধ্যে অন্তর্ভুক্ত রয়েছে:

• লোডার দ্বারা সরবরাহকৃত ক্ষতিকারক লাইব্রেরিগুলি কার্যকর করার জন্য ডিএলএল সাইড-লোডিং।
• নেটওয়ার্ক অ্যাক্সেস সম্প্রসারণের জন্য PsExec-এর মতো টুল ব্যবহার করে পার্শ্বীয় স্থানান্তর।
• সক্রিয় প্রমাণীকরণ সেশনগুলি সনাক্ত করতে cmd.exe /c klist এর মাধ্যমে ক্রেডেনশিয়াল অনুসন্ধান।
• S3 বাকেটের মাধ্যমে ডেটা স্টেজিং এবং এক্সফিলট্রেশন, যা কার্যকলাপকে বৈধ ক্লাউড ট্র্যাফিক হিসাবে ছদ্মবেশে করা হয়।
• র‍্যানসমওয়্যার স্থাপনের জন্য চূড়ান্ত এনক্রিপশন পর্যায়

উইন্ডোজের নিজস্ব টুল এবং প্রচলিত ক্লাউড পরিষেবাগুলোর ব্যবহারের মাধ্যমে ক্ষতিকারক কার্যকলাপগুলো স্বাভাবিক সিস্টেম ও নেটওয়ার্ক আচরণের সাথে মিশে যেতে পারে।

হুমকির রূপরেখা: উৎস এবং লক্ষ্যবস্তুর পরিধি

২০২৪ সালের নভেম্বরে আত্মপ্রকাশ করে, লিকনেট প্রাথমিকভাবে স্বচ্ছতা এবং ইন্টারনেট স্বাধীনতার মতো বিষয়গুলোকে প্রচার করে নিজেদেরকে একটি 'ডিজিটাল প্রহরী' হিসেবে প্রতিষ্ঠা করেছিল। তবে, পর্যবেক্ষণকৃত কার্যকলাপ একটি বৃহত্তর এবং আরও আক্রমণাত্মক কর্মপরিধি প্রকাশ করে, যার মধ্যে শিল্প প্রতিষ্ঠানগুলোর ওপর আক্রমণও অন্তর্ভুক্ত।

প্রচারণার নির্বিচার লক্ষ্য নির্ধারণ কৌশল এবং সম্প্রসারণযোগ্য সংক্রমণ পদ্ধতির সমন্বয়, নির্দিষ্ট খাতের উপর মনোযোগ কেন্দ্রীভূত করার পরিবর্তে সর্বাধিক সংখ্যক মানুষের কাছে পৌঁছানোর উদ্দেশ্যকেই তুলে ধরে।

প্রতিরক্ষামূলক প্রভাব: সুবিধা হিসেবে পূর্বাভাসযোগ্যতা

যদিও লিকনেটের প্রবেশের কৌশল বিকশিত হয়েছে, একটি পুনরাবৃত্তিমূলক শোষণ শৃঙ্খলের উপর এর নির্ভরতা একটি গুরুতর দুর্বলতা তৈরি করে। আক্রমণটির প্রতিটি পর্যায়, কার্য সম্পাদন থেকে শুরু করে পার্শ্বীয় চলাচল এবং ডেটা পাচার পর্যন্ত, শনাক্তযোগ্য আচরণগত ধরণ অনুসরণ করে।

এই সামঞ্জস্য রক্ষাকারীদেরকে নিম্নলিখিত কাজগুলো করতে সক্ষম করে:

• বৈধ সিস্টেম টুলের অস্বাভাবিক ব্যবহার শনাক্ত করুন
• মেমরিতে অস্বাভাবিক এক্সিকিউশন প্যাটার্ন নিরীক্ষণ করুন
• সন্দেহজনক ক্লাউড স্টোরেজ ইন্টারঅ্যাকশন শনাক্ত করুন
• এনক্রিপশন ঘটার আগেই আক্রমণের অগ্রগতি ব্যাহত করুন।

মূল কথাটি স্পষ্ট: প্রাথমিক প্রবেশাধিকারের পদ্ধতি ভিন্ন হতে পারে, কিন্তু এর অন্তর্নিহিত কার্যপ্রণালীর রূপরেখা স্থিতিশীল থাকে, যা দ্রুত শনাক্তকরণ ও প্রতিকারের জন্য একাধিক সুযোগ প্রদান করে।