Minifast ব্যাকডোর
২০২৬ সালের ফেব্রুয়ারিতে ইরানের উপর মার্কিন-ইসরায়েলি যৌথ হামলার পর, ইসলামিক রেভল্যুশনারি গার্ড কর্পস-সংশ্লিষ্ট নিম্বাস ম্যান্টিকোর নামক ইরানি রাষ্ট্র-পৃষ্ঠপোষক হুমকি সৃষ্টিকারী গোষ্ঠীটি, যা স্ক্রিনিং সার্পেন্স এবং ইউএনসি১৫৪৯ নামেও পরিচিত, মার্কিন যুক্তরাষ্ট্র, ইউরোপ এবং মধ্যপ্রাচ্যের সংস্থাগুলোর বিরুদ্ধে তার সাইবার অভিযান আরও তীব্র করেছে। গোষ্ঠীটি ক্রমবর্ধমান অত্যাধুনিক অনুপ্রবেশ কৌশল এবং ম্যালওয়্যার সরবরাহ পদ্ধতি ব্যবহার করে বিমান চলাচল এবং সফটওয়্যার শিল্পের সংস্থাগুলোকে লক্ষ্যবস্তু করেছে।
নিরাপত্তা গবেষকরা বেশ কিছু কার্যপ্রণালীগত পরিবর্তন শনাক্ত করেছেন, যা সাম্প্রতিক অভিযানগুলোকে পূর্ববর্তী কার্যকলাপ থেকে আলাদা করে। এর মধ্যে রয়েছে মিনিফাস্ট (MiniFast) নামক একটি নতুন ব্যাকডোরের সংযোজন, অ্যাপডোমেইন (AppDomain) হাইজ্যাকিংয়ের বর্ধিত ব্যবহার এবং নকল সফটওয়্যার ডাউনলোড পোর্টালের মাধ্যমে ভুক্তভোগীদের সংক্রমিত করার জন্য এসইও পয়জনিংয়ের (SEO poisoning) দিকে কৌশলগত পরিবর্তন। বিশ্লেষকরা এমন কিছু ইঙ্গিতও খুঁজে পেয়েছেন যা থেকে বোঝা যায় যে, কৃত্রিম বুদ্ধিমত্তার সহায়তায় এই ম্যালওয়্যার তৈরির প্রক্রিয়া ত্বরান্বিত হয়ে থাকতে পারে।
সুচিপত্র
ভুয়া চাকরির অফার থেকে সার্চ ইঞ্জিন কারসাজি পর্যন্ত
নিম্বাস ম্যান্টিকোর ঐতিহাসিকভাবে প্রতিরক্ষা, বিমান চলাচল এবং টেলিযোগাযোগ খাতের লক্ষ্যবস্তুগুলোর ওপর মনোযোগ দিয়েছে। এটি পেশা-ভিত্তিক ফিশিং ক্যাম্পেইনের মাধ্যমে এই কাজ করে থাকে, যা সাধারণত 'ইরানিয়ান ড্রিম জব' অপারেশন নামে পরিচিত। এই কৌশলগুলো উত্তর কোরীয় হুমকি সৃষ্টিকারীদের সাথে যুক্ত একটি দীর্ঘস্থায়ী সোশ্যাল ইঞ্জিনিয়ারিং ক্যাম্পেইন 'অপারেশন ড্রিম জব'-এর সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ।
২০২৬ সালের ফেব্রুয়ারি থেকে এপ্রিল মাসের মধ্যে, গোষ্ঠীটি নিরবচ্ছিন্নভাবে তিনটি স্বতন্ত্র অভিযান পরিচালনা করে, যা আঞ্চলিক সংঘাত চলাকালীন একটি আক্রমণাত্মক কর্মপন্থা প্রদর্শন করে।
২০২৬ সালের ফেব্রুয়ারী মাসে, সৌদি আরব এবং অস্ট্রেলিয়ার বিমান চলাচল ও সফটওয়্যার সংস্থাগুলোর কর্মীরা OnlyOffice-এ হোস্ট করা ZIP আর্কাইভ সম্বলিত প্রতারণামূলক চাকরির অফার পান। আর্কাইভটির ভেতরে থাকা একটি নিরীহ এক্সিকিউটেবল ফাইল খোলার ফলে AppDomain হাইজ্যাকিং সক্রিয় হয়, যা শেষ পর্যন্ত MiniJunk ম্যালওয়্যারের DLL ফাইলটি সক্রিয় করে।
২০২৬ সালের মার্চ মাসে, হুমকিদাতা একটি অনুরূপ সংক্রমণ শৃঙ্খল অবলম্বন করে, কিন্তু এই প্রক্রিয়ায় একটি ট্রোজানযুক্ত জুম ইনস্টলার অন্তর্ভুক্ত করে। ম্যালওয়্যারটি সম্ভবত ভুয়া মিটিং আমন্ত্রণের মাধ্যমে ছড়ানো হয়েছিল এবং শেষ পর্যন্ত নতুন শনাক্ত হওয়া মিনিফাস্ট ব্যাকডোরটি ইনস্টল করে।
২০২৬ সালের এপ্রিলে, নিম্বাস ম্যান্টিকোর এসইও পয়জনিং কৌশল প্রয়োগ করে সম্পূর্ণ ভিন্ন একটি কৌশল চালু করে। অপারেটররা ওরাকল এসকিউএল ডেভেলপার-এর ছদ্মবেশে একটি নকল ডাউনলোড পেজ তৈরি করে এবং সাইটটির দৃশ্যমানতা বাড়ানোর উদ্দেশ্যে অসংখ্য সহায়ক ডোমেইন নিবন্ধন করে বিং ও ডাকডাকগো-তে সার্চ ইঞ্জিন র্যাঙ্কিংয়ে কারসাজি করে।
এটিই ছিল প্রথম জ্ঞাত ঘটনা যেখানে দলটি প্রচলিত স্পিয়ারফিশিং পদ্ধতি ত্যাগ করে সার্চ-ইঞ্জিন-চালিত ম্যালওয়্যার বিতরণের পথ বেছে নিয়েছিল। ইমেইলের মাধ্যমে সরাসরি শিকারদের লক্ষ্য করার পরিবর্তে, আক্রমণকারীরা ডেভেলপার এবং আইটি কর্মীদের অনলাইনে সচরাচর ব্যবহৃত সফটওয়্যার খোঁজার জন্য অপেক্ষা করত এবং তারপর সংক্রামিত ইনস্টলার সরবরাহ করত।
মিনিফাস্ট ব্যাকডোর ক্রমবর্ধমান প্রযুক্তিগত সক্ষমতা প্রকাশ করে
মিনিফাস্ট, যা মিনিআপডেট নামেও পরিচিত, নিম্বাস ম্যান্টিকোরের ম্যালওয়্যার ভান্ডারে একটি বড় ধরনের অগ্রগতি। গবেষকরা এই ম্যালওয়্যারটিকে একটি পূর্ণাঙ্গ ব্যাকডোর হিসেবে বর্ণনা করেছেন, যা স্থায়ী প্রবেশাধিকার, দূর থেকে কমান্ড কার্যকর করা এবং দীর্ঘমেয়াদী গুপ্তচরবৃত্তি কার্যক্রমের জন্য তৈরি করা হয়েছে।
এর কমান্ড লুপে প্রবেশ করার আগে, ম্যালওয়্যারটি HTTP-এর মাধ্যমে তার কমান্ড-অ্যান্ড-কন্ট্রোল পরিকাঠামোতে প্রাথমিক সিস্টেম তথ্য প্রেরণ করে। এরপর এটি ক্রমাগত নির্দেশাবলী সংগ্রহ করে, সম্পাদনের ফলাফল আপলোড করে, ফাইল পাচার করে এবং অতিরিক্ত পেলোড ডাউনলোড করে।
ব্যাকডোরটি বিস্তৃত পরিসরের সক্ষমতা সমর্থন করে, যার মধ্যে রয়েছে:
- ফাইল ম্যানিপুলেশন এবং ডিরেক্টরি গণনা
- PID-এর মাধ্যমে প্রসেস তালিকাভুক্তকরণ এবং জোরপূর্বক প্রসেস সমাপ্তি
- cmd.exe এর মাধ্যমে দূরবর্তী কমান্ড কার্যকর করা
- ডিএলএল লোডিং এবং জিপ আর্কাইভ তৈরি
- নির্ধারিত কাজগুলিতে অধ্যবসায়
- 'runas' কমান্ড ব্যবহার করে বিশেষাধিকার বৃদ্ধি
- যোগাযোগকে এলোমেলো করার জন্য কনফিগারযোগ্য জিটার সহ সামঞ্জস্যযোগ্য বীকন ব্যবধান।
গবেষকরা এমন লক্ষণও লক্ষ্য করেছেন যে, এআই-সহায়তাযুক্ত কোডিং টুলগুলো এই ম্যালওয়্যারটির বিকাশে ভূমিকা রেখে থাকতে পারে। এর প্রমাণগুলোর মধ্যে রয়েছে অস্বাভাবিকভাবে বিশদ ত্রুটি ব্যবস্থাপনা, অতিরিক্ত প্রতিরক্ষামূলক প্রোগ্রামিং লজিক, পুনরাবৃত্তিমূলক নামকরণের রীতি, অত্যন্ত বিস্তারিত ডিবাগ-ধাঁচের স্ট্যাটাস মেসেজ এবং মডিউলার কোড কাঠামো, যা এই মাপ ও জটিলতার ম্যালওয়্যারের জন্য অস্বাভাবিক।
সংঘাত দ্রুততর এবং ব্যাপকতর সাইবার অভিযানকে উস্কে দিয়েছে
সাইবার নিরাপত্তা বিশেষজ্ঞরা মনে করেন, এই অভিযানগুলো নিম্বাস ম্যান্টিকোরের কার্যপরিচালনাগত এক উল্লেখযোগ্য বিবর্তনকে তুলে ধরে। সক্রিয় ভূ-রাজনৈতিক সংঘাতের সময় গতি কমানোর পরিবর্তে, গোষ্ঠীটি তার কার্যকলাপের গতি ও জটিলতা উভয়ই বাড়িয়ে দিয়েছে।
চলমান অভিযানের মাঝেই নতুন তৈরি করা একটি ব্যাকডোরের দ্রুত মোতায়েন ত্বরান্বিত ম্যালওয়্যার উন্নয়ন চক্রের ইঙ্গিত দেয়, যা সম্ভবত কৃত্রিম বুদ্ধিমত্তার টুলিং দ্বারা সমর্থিত। একই সাথে, টার্গেটেড ফিশিং থেকে এসইও পয়জনিং-এ রূপান্তর মধ্যপ্রাচ্যে প্রচলিত গুপ্তচরবৃত্তি-কেন্দ্রিক অনুপ্রবেশের বাইরেও বিস্তৃত এক বৃহত্তর উচ্চাকাঙ্ক্ষার প্রতিফলন ঘটায়।
একাধিক ক্যাম্পেইন ওয়েভে ফিশিং অপারেশন, অ্যাপডোমেইন হাইজ্যাকিং, এআই-সহায়তায় ম্যালওয়্যার তৈরি এবং সার্চ ইঞ্জিন ম্যানিপুলেশনের সমন্বয়ের মাধ্যমে নিম্বাস ম্যান্টিকোর একটি অত্যন্ত অভিযোজনযোগ্য থ্রেট মডেল প্রদর্শন করেছে, যা ভূ-রাজনৈতিক অস্থিতিশীলতার সময়ে দ্রুত বিবর্তিত হতে সক্ষম।
