MarsSnake Backdoor
ইনফোসেক বিশেষজ্ঞরা সম্প্রতি আনসলিসিটেডবুকার নামে পরিচিত চীন-সমর্থিত হ্যাকিং গ্রুপের কৌশল প্রকাশ করেছেন। এই হুমকিদাতা মার্সস্নেক নামক একটি অজানা ব্যাকডোর ব্যবহার করে সৌদি আরবের একটি নামহীন আন্তর্জাতিক সংস্থাকে লক্ষ্যবস্তু করেছিলেন। তাদের কার্যকলাপ বহু বছর ধরে বিস্তৃত, এই নির্দিষ্ট লক্ষ্যবস্তুর প্রতি তাদের আগ্রহের প্রমাণ।
সুচিপত্র
এক মোড় নিয়ে স্পিয়ার-ফিশিং: টোপ হিসেবে বিমানের টিকিট
এই গোষ্ঠীর অনুপ্রবেশ পদ্ধতি মূলত স্পিয়ার-ফিশিং ইমেলের উপর নির্ভর করে। এই ইমেলগুলিতে প্রায়শই বিমানের টিকিট অন্তর্ভুক্ত থাকে যা শিকারদের হুমকিস্বরূপ সংযুক্তিগুলি খোলার জন্য প্রলুব্ধ করে। লক্ষ্যবস্তু মূলত এশিয়া, আফ্রিকা এবং মধ্যপ্রাচ্যের সরকারি সংস্থাগুলি। আক্রমণকারীদের বিমান-সম্পর্কিত প্রলোভনের ব্যবহার তাদের ফিশিং প্রচেষ্টাগুলিকে বিশেষভাবে বিশ্বাসযোগ্য এবং উপযুক্ত করে তোলে।
পরিচিত ম্যালওয়্যার আর্সেনাল এবং ওভারল্যাপিং পরিচয়
অযাচিতবুকারের আক্রমণগুলি বেশ কয়েকটি সুপরিচিত ব্যাকডোর মোতায়েনের দ্বারা চিহ্নিত, যার মধ্যে রয়েছে:
- চিনক্সি
- DeedRAT সম্পর্কে
- পয়জন আইভি
- BeRAT সম্পর্কে
এই ম্যালওয়্যার টুলগুলি সাধারণত চীনা সাইবার-গুপ্তচরবৃত্তি গোষ্ঠীগুলির সাথে যুক্ত। তাছাড়া, UnsolicitedBooker স্পেস পাইরেটস নামে আরেকটি গোষ্ঠী এবং সৌদি আরবের একটি ইসলামিক অলাভজনক প্রতিষ্ঠানের বিরুদ্ধে জারদুর নামক একটি ব্যাকডোর ব্যবহার করে এমন একটি অজ্ঞাত গোষ্ঠীর সাথে বৈশিষ্ট্যগুলি ভাগ করে নেয়।
সর্বশেষ প্রচারণার বিশ্লেষণ: মার্সস্নেক ব্যাকডোর মোতায়েন
২০২৫ সালের জানুয়ারীতে চালানো সর্বশেষ প্রচারণাটি সৌদি আরবের একই প্রতিষ্ঠানকে লক্ষ্য করে চালানো হয়েছিল। এই আক্রমণে সৌদিয়া এয়ারলাইন্সের ছদ্মবেশে একটি ফিশিং ইমেল ব্যবহার করা হয়েছিল, যার সাথে একটি ফ্লাইট বুকিং অ্যাটাচমেন্টও ছিল। মূল বিবরণের মধ্যে রয়েছে:
- সংযুক্তি : একটি মাইক্রোসফট ওয়ার্ড ডকুমেন্ট যা বিমানের টিকিটের ছদ্মবেশে তৈরি।
- ডিকয় টিকিটের উৎপত্তি : একাডেমিয়া গবেষণা-শেয়ারিং ওয়েবসাইটে সর্বজনীনভাবে উপলব্ধ পিডিএফ থেকে পরিবর্তিত
- সংক্রমণ প্রক্রিয়া : ওয়ার্ড ডকুমেন্ট খোলার ফলে একটি VBA ম্যাক্রো ট্রিগার হয় যা ভুক্তভোগীর সিস্টেমে একটি এক্সিকিউটেবল ফাইল (smssdrvhost.exe) লিখে।
- এক্সিকিউটেবলের কাজ : সদ্য আবিষ্কৃত ব্যাকডোর, মার্সস্নেকের জন্য লোডার হিসেবে কাজ করে।
- যোগাযোগ : কমান্ড গ্রহণের জন্য MarsSnake একটি দূরবর্তী সার্ভারের (contact.decenttoy.top) সাথে সংযোগ স্থাপন করে।
২০২৩, ২০২৪ এবং ২০২৫ সালে বারবার অনুপ্রবেশের প্রচেষ্টা এই সংগঠনের বিরুদ্ধে আনসলিসিটেডবুকারের লক্ষ্যবস্তু প্রচারণাকে তুলে ধরে।
মার্সস্নেক: আনসলিসিটেডবুকারের অস্ত্রাগারে একটি শক্তিশালী হাতিয়ার
MarsSnake একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত ব্যাকডোর যা আক্রমণকারীদের সংক্রামিত মেশিনের উপর উল্লেখযোগ্য নিয়ন্ত্রণ দেয়। এটি নির্বিচারে কমান্ড কার্যকর করতে এবং ফাইল পড়ার/লেখার অবাধ অ্যাক্সেস সক্ষম করে। ব্যাকডোরটি নির্দেশাবলী গ্রহণের জন্য একটি কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের সাথে যোগাযোগ বজায় রাখে। এখনও পর্যন্ত, MarsSnake কেবলমাত্র UnsolicitedBooker দ্বারা ব্যবহৃত বলে মনে হচ্ছে, এটিকে এই হুমকি অভিনেতার একটি স্বাক্ষর হাতিয়ার হিসাবে চিহ্নিত করে।
