Mistic ব্যাকডোর

Mistic নামে পরিচিত একটি অত্যাধুনিক ব্যাকডোর, যা MLTBackdoor নামেও ট্র্যাক করা হয়, এপ্রিল ২০২৬ থেকে সক্রিয় থাকা আর্থিক উদ্দেশ্যপ্রণোদিত সাইবার আক্রমণের একটি ঢেউয়ের অংশ হিসেবে আবির্ভূত হয়েছে। বীমা, শিক্ষা, তথ্য প্রযুক্তি এবং পেশাদার পরিষেবা খাতে কর্মরত সংস্থাগুলোর ওপর চালানো আক্রমণে এই ম্যালওয়্যারটি শনাক্ত করা হয়েছে।

নিরাপত্তা গবেষকরা এই অপারেশনটিকে ইনিশিয়াল অ্যাক্সেস ব্রোকার (IAB) KongTuke-এর সাথে যুক্ত করেছেন, যা 404 TDS, Chaya_002, LandUpdate808, TAG-124, এবং Woodgnat-সহ আরও কয়েকটি ছদ্মনামে পরিচিত। এই অনুপ্রবেশগুলোর সময় Mistic-কে ModeloRAT-এর পাশাপাশি মোতায়েন করা হয়েছিল, যা একটি পাইথন-ভিত্তিক রিমোট অ্যাক্সেস ট্রোজান এবং পূর্বেও একই হুমকি সৃষ্টিকারীর সাথে এর যোগসূত্র পাওয়া গিয়েছিল।

গোপনীয়তা এবং দীর্ঘমেয়াদী প্রবেশের জন্য ডিজাইন করা হয়েছে

Mistic তার স্বতন্ত্র বৈশিষ্ট্যের জন্য পরিচিত, কারণ এটি ডিস্কে কোনো ফাইল না লিখে সম্পূর্ণভাবে মেমরিতেই কাজ করতে পারে, যা শনাক্ত হওয়ার সম্ভাবনাকে উল্লেখযোগ্যভাবে কমিয়ে দেয়। এই ম্যালওয়্যারটিতে একটি বিল্ট-ইন কিল সুইচও রয়েছে, যা প্রয়োজনে এটিকে নিজেকে মুছে ফেলার সুযোগ দেয়। এই বৈশিষ্ট্যগুলো থেকে বোঝা যায় যে, এর পরিচালনাকারীরা হ্যাক হওয়া পরিবেশে স্থায়ী এবং গোপন অ্যাক্সেস বজায় রাখার দিকেই মনোনিবেশ করছে।

দৃষ্টি আকর্ষণ এড়াতে, ম্যালওয়্যারটি ডিএলএল সাইড-লোডিং কৌশলের উপর নির্ভর করে এবং স্বাভাবিক সিস্টেম কার্যকলাপের সাথে মিশে যাওয়ার জন্য মাইক্রোসফটের বৈধ এন্ডপয়েন্ট সিকিউরিটি ইউটিলিটি MpExtMs.exe-কে অপব্যবহার করে।

ক্লিকফিক্স ডেলিভারি ক্যাম্পেইনের বিবর্তন

২০২৬ সালের জানুয়ারিতে CrashFix নামে পরিচিত ClickFix ক্যাম্পেইনের একটি ভ্যারিয়েন্টের তদন্ত চলাকালীন ModeloRAT প্রথম নজরে আসে। এই অপারেশনে, KongTuke-এর হ্যাকাররা একটি অ্যাড ব্লকারের ছদ্মবেশে একটি ক্ষতিকারক গুগল ক্রোম এক্সটেনশন ছড়িয়ে দেয়। এক্সটেনশনটি ইচ্ছাকৃতভাবে ভুক্তভোগীদের ব্রাউজার ক্র্যাশ করে দিত এবং এরপর একটি সিকিউরিটি স্ক্যান করার অজুহাতে তাদেরকে ক্ষতিকারক কমান্ড চালাতে প্ররোচিত করত।

ক্লিকফিক্সের আরেকটি ক্যাম্পেইনে ভিন্ন একটি কৌশল ব্যবহার করা হয়েছিল, যেখানে ভুক্তভোগীদের ডোমেইন নেম সিস্টেম (DNS) লুকআপ করার জন্য কমান্ড চালাতে নির্দেশ দেওয়া হতো। এরপর সেই DNS অনুরোধটি পরবর্তী ধাপের পেলোড পুনরুদ্ধার করতে ব্যবহৃত হতো, যা কার্যকরভাবে DNS-কে আক্রমণকারীদের জন্য একটি হালকা স্টেজিং এবং সিগন্যালিং ব্যবস্থায় পরিণত করত।

২০২৬ সালের জুন মাসে, গবেষকরা Mistic-এর ডেলিভারি প্রক্রিয়া হিসেবে ClickFix-এর ব্যবহারের বিষয়টিও তুলে ধরেন এবং এই কার্যকলাপের কারণ হিসেবে র‍্যানসমওয়্যার-সংশ্লিষ্ট কোনো হুমকিদাতার প্রাথমিক প্রবেশাধিকার লাভ ও নেটওয়ার্ক জুড়ে পার্শ্বীয় চলাচল সহজতর করার প্রচেষ্টাকে চিহ্নিত করেন।

যে ক্ষমতাগুলো মিস্টিককে অত্যন্ত বিপজ্জনক করে তোলে

এই ব্যাকডোরটি এমন একগুচ্ছ কার্যকারিতা প্রদান করে যা সাধারণত উন্নত রিমোট অ্যাক্সেস ম্যালওয়্যারের সাথে যুক্ত থাকে, যার মধ্যে রয়েছে:

ফাইল আপলোড ও ডাউনলোড করা, ফোল্ডার তৈরি করা এবং ফাইল সরানো, নাম পরিবর্তন করা বা মুছে ফেলা।
সরাসরি মেমরিতে ক্ষতিকারক কোড চালানো, কার্যকারিতা বাড়ানোর জন্য বিকন অবজেক্ট ফাইল লোড করা, কমান্ড পোলিং ব্যবধান পরিবর্তন করা, এবং প্রমাণ লোপাট করার জন্য নিজেকে বন্ধ ও মুছে ফেলা।

সুযোগসন্ধানী লক্ষ্যবস্তু নির্ধারণ এবং র‍্যানসমওয়্যার সংযোগ

এই অভিযানটি কোনো একটি নির্দিষ্ট শিল্পের ওপর মনোযোগ না দিয়ে, বরং একটি সুযোগসন্ধানী মডেল অনুসরণ করছে বলে মনে হচ্ছে। জানা গেছে, আক্রমণকারীরা বিভিন্ন ধরনের সংস্থাকে হ্যাক করছে এবং তারপর মূল্যায়ন করছে যে কোন ভুক্তভোগীরা অন্যান্য সাইবার অপরাধীদের কাছে বিক্রির জন্য লাভজনক অ্যাক্সেসের সুযোগ করে দিতে পারে।

গবেষকরা এমন সব আক্রমণেও মডেলোর্যাট (ModeloRAT) লক্ষ্য করেছেন, যেগুলোর চূড়ান্ত পরিণতি ছিল কিলিন র‍্যানসমওয়্যারের বিস্তার, যা প্রাথমিক অ্যাক্সেস ব্রোকার এবং র‍্যানসমওয়্যার অপারেটরদের মধ্যকার সংযোগকে আরও শক্তিশালী করে।

কংটুকের সামাজিক প্রকৌশল কৌশলের ক্রমবর্ধমান অস্ত্রাগার

কংটুক হ্যাক হওয়া ওয়ার্ডপ্রেস ওয়েবসাইটের উপর ভিত্তি করে একটি অত্যাধুনিক ট্র্যাফিক ডিস্ট্রিবিউশন সিস্টেম (টিডিএস) পরিচালনা করে। এই পরিকাঠামোটি ক্রমাগত পরিবর্তনশীল প্রলোভন দেখানোর জন্য ব্যবহৃত হয়, যা সন্দেহাতীত ভিজিটরদের ম্যালওয়্যার ডেলিভারি চেইনের দিকে পরিচালিত করে।

সম্প্রতি, নিরাপত্তা সংস্থা র‍্যাপিড৭ এবং রিলাকোয়েস্ট জানিয়েছে যে, আক্রমণকারী তার কৌশল পরিবর্তন করে ভুয়া 'আইটি সাপোর্ট' অ্যাকাউন্ট থেকে মাইক্রোসফট টিমস-এ বার্তা পাঠাচ্ছে। এই বার্তাগুলো একটি আক্রমণ শৃঙ্খলের সূচনা করে, যার চূড়ান্ত পরিণতিতে মডেলোর‍্যাট (ModeloRAT) মোতায়েন করা হয়।

কাস্টম ম্যালওয়্যার ডেভেলপমেন্টে একটি ক্রমবর্ধমান প্রবণতা

Mistic-এর অত্যাধুনিকতা এবং ModeloRAT-এর উন্নয়নে Woodgnat-এর সন্দেহজনক সম্পৃক্ততা এমন একটি অত্যন্ত দক্ষ গোষ্ঠীর দিকে ইঙ্গিত করে, যারা গোপনীয় রিমোট অ্যাক্সেস টুল তৈরিতে বিশেষজ্ঞ। Backdoor.Mistic-এর আবির্ভাব এই শিল্পের একটি বৃহত্তর প্রবণতাকেও প্রতিফলিত করে, যেখানে র‍্যানসমওয়্যার কার্যক্রমগুলো ক্রমবর্ধমানভাবে বিশেষভাবে নির্মিত ম্যালওয়্যার, তথ্য পাচারের ইউটিলিটি এবং বিশেষায়িত অ্যাক্সেস টুলের উপর নির্ভর করছে।

বর্তমান প্রমাণাদি থেকে ইঙ্গিত পাওয়া যায় যে, মিস্টিক সম্ভবত কোনো র‍্যানসমওয়্যার গোষ্ঠীর সরাসরি তৈরি করা টুল নয়, বরং এটি র‍্যানসমওয়্যার সহযোগীদের সাথে সহযোগিতাকারী অ্যাক্সেস ব্রোকারদের একটি সৃষ্টি।