MeshAgent

100 টিরও বেশি ইউক্রেনীয় রাজ্য এবং স্থানীয় সরকার কম্পিউটার একটি ফিশিং প্রচারাভিযানে MeshAgent ম্যালওয়্যার দ্বারা আপস করা হয়েছে যা ইউক্রেনের নিরাপত্তা পরিষেবা (SBU)-এর আস্থাকে কাজে লাগিয়েছে৷

হামলার সাথে জড়িত ইমেলগুলি যেগুলি SBU থেকে এসেছে বলে মনে হচ্ছে, যেখানে 'Documents.zip' লেবেলযুক্ত একটি ফাইল ডাউনলোড করার লিঙ্ক রয়েছে৷

যাইহোক, লিঙ্কে ক্লিক করলে এর পরিবর্তে একটি Microsoft Software Installer (MSI) ফাইল ডাউনলোড হয়, যেমন 'Scan_docs#40562153.msi'। এই MSI ফাইলটি খোলার ফলে ANONVNC-এর ইনস্টলেশন শুরু হয়, যা MeshAgent ম্যালওয়্যার নামেও পরিচিত, সম্ভাব্য আক্রমণকারীদের আপোসকৃত সিস্টেমগুলিতে গোপন এবং অননুমোদিত অ্যাক্সেসের অনুমতি দেয়।

আক্রমণকারীরা একটি ওপেন-সোর্স টুল ব্যবহার করতে পারে

নিরাপত্তা গবেষকদের দ্বারা বিশ্লেষণ করা ANONVNC ম্যালওয়্যারটিতে একটি কনফিগারেশন ফাইল রয়েছে যা MeshAgent সফ্টওয়্যার টুলের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ।

MeshAgent প্রাথমিকভাবে ওপেন সোর্স প্ল্যাটফর্ম MeshCentral-এর সাথে কাজ করার জন্য ডিজাইন করা একটি রিমোট ম্যানেজমেন্ট টুল। এটি Windows, Linux, macOS এবং FreeBSD সহ বিভিন্ন অপারেটিং সিস্টেমকে সমর্থন করে। যদিও মেশএজেন্ট নিজেই অন্তর্নিহিতভাবে দূষিত নয়, সাইবার অপরাধীরা এটিকে ব্যবহার করছে আপস করা শেষ পয়েন্টগুলিতে পিছনের দরজা তৈরি করতে, VNC, RDP, বা SSH এর মতো সরঞ্জামগুলির মাধ্যমে দূরবর্তী অ্যাক্সেস সক্ষম করে৷

সম্প্রতি, নিরাপত্তা গবেষকরা আক্রমণকারীদের দ্বারা মেশএজেন্টের অপব্যবহার বৃদ্ধি লক্ষ্য করেছেন আপোসকৃত সিস্টেমে অবিচলতা বজায় রাখতে এবং দূরবর্তী কমান্ডগুলি চালানোর জন্য।

সাইবার অপরাধীরা কেন MeshAgent টুল হাইজ্যাক করেছে?

• বিরামবিহীন সংযোগ: ইনস্টলেশনের পরে, মেশসেন্ট্রাল স্বয়ংক্রিয়ভাবে কোনও ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই শেষ পয়েন্টগুলির সাথে সংযোগ স্থাপন করে।
• অননুমোদিত অ্যাক্সেস : মেশসেন্ট্রাল সরাসরি বা রিমোট ডেস্কটপ প্রোটোকল (RDP) এর মাধ্যমে মেশএজেন্ট অ্যাক্সেস করতে পারে, এন্ডপয়েন্ট থেকে অনুমতির প্রয়োজন বাদ দিয়ে।
• সিস্টেম কন্ট্রোল : এটির দূরবর্তী অবস্থান থেকে জেগে ওঠা, পুনরায় চালু করা বা বন্ধ করার ক্ষমতা রয়েছে।
• কমান্ড এবং কন্ট্রোল : মেশসেন্ট্রাল একটি কমান্ড সার্ভার হিসাবে কাজ করে, এটি ব্যবহারকারীর সচেতনতা ছাড়াই শেষ পয়েন্টে শেল কমান্ড এবং ফাইল স্থানান্তর করার অনুমতি দেয়।
• সনাক্ত করা যায় না এমন অপারেশন : MeshCentral দ্বারা সম্পাদিত ক্রিয়াগুলি NT AUTHORITY\SYSTEM অ্যাকাউন্টের অধীনে কাজ করে, যা তাদের স্বাভাবিক পটভূমি প্রক্রিয়াগুলির সাথে মিশে যেতে সাহায্য করে।
• ইউনিক ফাইল হ্যাশ : MeshAgent-এর প্রতিটি ইন্সট্যান্স স্বতন্ত্রভাবে তৈরি হয়, যা একা ফাইল হ্যাশের মাধ্যমে সনাক্ত করা কঠিন করে তোলে।
• ফিশিং এবং ফায়ারওয়াল ফাঁকি : আক্রমণকারীরা প্রায়ই ফিশিং ইমেলের মাধ্যমে মেশএজেন্ট বিতরণ করে। যোগাযোগের জন্য 80 এবং 443 এর মত সাধারণ পোর্টের ব্যবহার ফায়ারওয়াল দ্বারা সনাক্তকরণ এড়ানোর সম্ভাবনা বাড়িয়ে তোলে।

বিশেষজ্ঞরা একটি বড় হুমকি প্রচারণার সম্ভাবনা সম্পর্কে সতর্ক

গবেষকরা বিশ্বাস করেন যে এই সর্বশেষ প্রচারাভিযানটি জুলাই 2024 সালে শুরু হয়েছিল এবং ইউক্রেনের সীমানা ছাড়িয়ে যেতে পারে। পিক্লাউড ফাইল স্টোরেজ পরিষেবার বিশ্লেষণে 1 আগস্ট থেকে আপলোড করা এক হাজারেরও বেশি EXE এবং MSI ফাইল উন্মোচিত হয়েছে, যার মধ্যে কয়েকটি এই বিস্তৃত প্রচারণার সাথে যুক্ত হতে পারে।

গত ৬ আগস্ট ইউক্রেন কুরস্ক অঞ্চলে অতর্কিত হামলা চালায়। প্রথমবারের মতো, একজন সিনিয়র সামরিক কমান্ডার প্রকাশ্যে নিশ্চিত করেছেন যে কিয়েভের বাহিনী এখন রাশিয়ান ভূখণ্ডের 1,000 বর্গ কিলোমিটার (প্রায় 386 বর্গ মাইল) নিয়ন্ত্রণ করছে।

সাম্প্রতিক ফিশিং প্রচারাভিযান, যা সরকারী কম্পিউটার সিস্টেমে ব্যাকডোর ম্যালওয়্যার স্থাপন করেছিল, এই উল্লেখযোগ্য ইউক্রেনীয় আক্রমণের সাথে মিলে যায়। যাইহোক, কিয়েভ সরাসরি এই লক্ষ্যবস্তু হামলার জন্য রাশিয়া বা তার সাইবার কার্যক্রমকে দায়ী করেনি। পরিবর্তে, প্রচারটি UAC-0198 হিসাবে চিহ্নিত একজন হুমকি অভিনেতার সাথে যুক্ত করা হয়েছে।

পূর্বে, রাশিয়ান হ্যাকাররা ইউক্রেন এবং তার মিত্রদের উপর গুপ্তচরবৃত্তি করার জন্য বৈধ রিমোট মনিটরিং এবং ম্যানেজমেন্ট (RMM) সফ্টওয়্যার ব্যবহার করে একই ধরনের কৌশল ব্যবহার করেছে। তারা মাইক্রোসফ্টের 'মাইনসুইপার' গেমের বৈধ পাইথন কোডের মধ্যে আরএমএম সফ্টওয়্যার ডাউনলোড এবং কার্যকর করার জন্য প্রয়োজনীয় ক্ষতিকারক স্ক্রিপ্টগুলি গোপন করেছিল।