LoptikMod Malware

DoNot APT গ্রুপের নামে একটি নতুন প্রচারণা শুরু হয়েছে, যেখানে LoptikMod নামক একটি গোপন এবং স্থায়ী ম্যালওয়্যার স্ট্রেনের ব্যবহার দেখানো হয়েছে। এই টুলটি ইউরোপীয় পররাষ্ট্র মন্ত্রণালয়ের বিরুদ্ধে লক্ষ্যবস্তু আক্রমণে ব্যবহার করা হয়েছে, যা আরও ইঙ্গিত দেয় যে এই গ্রুপটি দক্ষিণ এশিয়ার বাইরে মনোযোগ স্থানান্তর করছে।

একজন পরিচিত হুমকি অভিনেতা যার বিস্তৃত পরিসর

এই অভিযানটি ডোনট টিমের সাথে যুক্ত, যা একটি অত্যাধুনিক অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) গ্রুপ যা বিভিন্ন উপনামে পরিচিত, যার মধ্যে রয়েছে APT-C-35, মিন্ট টেম্পেস্ট, অরিগামি এলিফ্যান্ট, SECTOR02, এবং ভাইসরয় টাইগার। কমপক্ষে ২০১৬ সাল থেকে পরিচালিত এই অভিযানের মাধ্যমে, এই গ্রুপটির সরকারি সংস্থা, পররাষ্ট্র মন্ত্রণালয়, প্রতিরক্ষা সংস্থা এবং এনজিওগুলিকে লক্ষ্য করে, বিশেষ করে দক্ষিণ এশিয়া এবং ইউরোপে, একটি নথিভুক্ত ইতিহাস রয়েছে।

ঐতিহাসিকভাবে, DoNot APT কাস্টম-বিল্ট ম্যালওয়্যার ব্যবহার করেছে, বিশেষ করে YTY এবং GEdit, যা প্রায়শই স্পিয়ার-ফিশিং প্রচারণা এবং ক্ষতিকারক নথি সংযুক্তির মাধ্যমে ব্যবহার করা হত।

লক্ষ্যবস্তুকে প্রলুব্ধ করা: প্রবেশের পথ হিসেবে ফিশিং

আক্রমণটি শুরু হয় একটি প্রতারণামূলক ফিশিং ইমেল দিয়ে যা বৈধ এবং বিশ্বাসযোগ্য বলে মনে করা হয়। জিমেইল অ্যাকাউন্ট থেকে পাঠানো এই বার্তাগুলিতে প্রতিরক্ষা কর্মকর্তাদের ছদ্মবেশ ধারণ করা হয় এবং বাংলাদেশের ঢাকায় একজন ইতালীয় প্রতিরক্ষা অ্যাটাশে-র সফরের বিষয়বস্তু দেখানো হয়। উল্লেখযোগ্যভাবে, ইমেলগুলি HTML ব্যবহার করে UTF-8 এনকোডিং ব্যবহার করে 'é' এর মতো বিশেষ অক্ষরগুলিকে সঠিকভাবে রেন্ডার করার জন্য ফর্ম্যাট করা হয়, যা তাদের সত্যতা আরও বাড়িয়ে তোলে।

ইমেলে থাকা একটি গুগল ড্রাইভ লিঙ্ক একটি RAR আর্কাইভ ডাউনলোড করার দিকে পরিচালিত করে। এই আর্কাইভে একটি ক্ষতিকারক এক্সিকিউটেবল রয়েছে যা একটি PDF ফাইলের অনুকরণ করার জন্য ডিজাইন করা হয়েছে। খোলা হলে, এক্সিকিউটেবলটি LoptikMod এর স্থাপনা শুরু করে, একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) যা কমপক্ষে 2018 সাল থেকে DoNot APT-এর জন্য এক্সক্লুসিভ।

LoptikMod ম্যালওয়্যারের ভেতরে

একবার কার্যকর করা হলে, LoptikMod স্থিরতার জন্য নির্ধারিত কাজগুলি ব্যবহার করে হোস্ট সিস্টেমে নিজেকে এম্বেড করে। এরপর এটি বিভিন্ন ক্ষতিকারক কার্যকলাপ সম্পাদনের জন্য একটি রিমোট কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযুক্ত হয়। এর মধ্যে রয়েছে:

• আক্রমণকারীদের কাছে সিস্টেমের তথ্য ফেরত পাঠানো
• অতিরিক্ত কমান্ড গ্রহণ এবং কার্যকর করা
• অতিরিক্ত ক্ষতিকারক মডিউল ডাউনলোড করা হচ্ছে
• সংবেদনশীল তথ্য বহিষ্কার করা হচ্ছে

সনাক্তকরণ এড়াতে এবং ফরেনসিক বিশ্লেষণে বাধা সৃষ্টি করতে, LoptikMod অ্যান্টি-VM (ভার্চুয়াল মেশিন) কৌশল এবং ASCII অস্পষ্টতা ব্যবহার করে, যার ফলে নিরাপত্তা গবেষকদের জন্য এর সম্পূর্ণ কার্যকারিতা বিশ্লেষণ করা কঠিন হয়ে পড়ে। উপরন্তু, এটি নিশ্চিত করে যে যেকোনো সময় একটি ডিভাইসে শুধুমাত্র একটি ইনস্ট্যান্স চলবে, অভ্যন্তরীণ দ্বন্দ্ব রোধ করে এবং সনাক্তকরণের সম্ভাবনা হ্রাস করে।

বর্তমান প্রচারণার অবস্থা এবং অবকাঠামো

যদিও LoptikMod নিজেই সক্ষম এবং অবিচল, সাম্প্রতিক আক্রমণে জড়িত C2 সার্ভারটি বর্তমানে নিষ্ক্রিয়। এই নিষ্ক্রিয়তার অর্থ হতে পারে অবকাঠামোটি সাময়িকভাবে অফলাইনে নেওয়া হয়েছে, স্থায়ীভাবে বন্ধ করা হয়েছে, অথবা একটি নতুন, অনাবিষ্কৃত সার্ভার দ্বারা প্রতিস্থাপিত হয়েছে।

সার্ভারের নিষ্ক্রিয় অবস্থা গবেষকদের সংক্রামিত এন্ডপয়েন্ট এবং আক্রমণকারীদের মধ্যে বিনিময় করা সঠিক কমান্ড এবং ডেটা বিশ্লেষণ করার ক্ষমতা সীমিত করে।

কৌশলগত পরিবর্তনের লক্ষণ: ইউরোপীয় লক্ষ্যবস্তুতে মনোযোগ

DoNot APT-এর সাম্প্রতিক কার্যকলাপ বিবর্তনের লক্ষণ দেখায়। যদিও এই দলটি ঐতিহ্যগতভাবে দক্ষিণ এশীয় স্বার্থের উপর মনোনিবেশ করেছে, সাম্প্রতিক এই অভিযানটি ইউরোপীয় কূটনৈতিক গোয়েন্দা তথ্যের প্রতি, বিশেষ করে দক্ষিণ এশিয়ার সাথে সম্পর্কিত, ক্রমবর্ধমান আগ্রহ প্রদর্শন করে।

এই পরিবর্তন সম্ভবত বর্ধিত অপারেশনাল ক্ষমতা এবং আরও উচ্চাভিলাষী গোয়েন্দা উদ্দেশ্যের ইঙ্গিত দেয়। গ্রুপটির পরিচালকরা পশ্চিমা কূটনৈতিক কৌশল, প্রতিরক্ষা নীতি এবং দক্ষিণ এশিয়ার সাথে আন্তর্জাতিক সম্পৃক্ততা সম্পর্কে অন্তর্দৃষ্টি খুঁজছেন হতে পারে।

কী Takeaways

এই ধরনের আক্রমণ কার্যকরভাবে প্রশমিত করার জন্য, প্রতিষ্ঠানগুলির উচিত তাদের কর্মীদের ফিশিং প্রচেষ্টা সনাক্ত করতে শিক্ষিত করে তোলা, এমনকি যখন বার্তাগুলি অত্যন্ত বৈধ বলে মনে হয়। অপ্রত্যাশিত নির্ধারিত কাজ বা অপরিচিত সার্ভারের সাথে বহির্গামী সংযোগের মতো অস্বাভাবিক আচরণের জন্য সিস্টেমগুলিকে ক্রমাগত পর্যবেক্ষণ করা সমানভাবে গুরুত্বপূর্ণ, যা আপস নির্দেশ করতে পারে।

এছাড়াও, স্যান্ডবক্সিং এবং আচরণগত বিশ্লেষণ সরঞ্জামগুলি প্রয়োগ করলে সন্দেহজনক এক্সিকিউটেবলগুলি ক্ষতি করার আগেই সনাক্ত এবং নিরপেক্ষ করা সম্ভব। সিস্টেমগুলিকে সম্পূর্ণরূপে প্যাচ করা এবং সর্বশেষ হুমকি গোয়েন্দা ফিডগুলি অন্তর্ভুক্ত করা নিশ্চিত করে যে পরিচিত দুর্বলতাগুলি দ্রুত সমাধান করা হয়েছে। পরিশেষে, নেটওয়ার্ককে ভাগ করে নেওয়ার ফলে পার্শ্বীয়ভাবে ম্যালওয়্যার ছড়িয়ে পড়ার ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করা যেতে পারে, যার ফলে সম্ভাব্য লঙ্ঘনগুলি আরও কার্যকরভাবে প্রতিরোধ করা যেতে পারে।

উপসংহার: সতর্কতা অপরিহার্য

ইউরোপীয় সাইবার গুপ্তচরবৃত্তি অভিযানে ডোনট এপিটি গ্রুপের লপটিকমড মোতায়েনের ঘটনাটি ক্রমবর্ধমান হুমকির দৃশ্যপটের একটি স্পষ্ট স্মারক। এপিটি গ্রুপগুলি তাদের সরঞ্জামগুলি উন্নত করে এবং তাদের লক্ষ্যবস্তু প্রসারিত করে চলেছে, বিশেষ করে উচ্চ-মূল্যবান কূটনৈতিক সম্পদের দিকে, সংস্থাগুলিকে তাদের সাইবার নিরাপত্তা প্রতিরক্ষায় সতর্ক এবং সক্রিয় থাকতে হবে।