MonsterV2 ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা সম্প্রতি TA585 নামে একটি পূর্বে নথিভুক্ত না হওয়া হুমকির উন্মোচন করেছেন, যেটি MonsterV2 নামে পরিচিত একটি অফ-দ্য-শেল্ফ ম্যালওয়্যার পরিবার সরবরাহ করার জন্য অত্যাধুনিক ফিশিং এবং ওয়েব-ইনজেকশন প্রচারণা চালাচ্ছে।

TA585 — একটি অপারেটর যা সম্পূর্ণ কিল চেইনের মালিক

TA585 এর উপস্থিতি আলাদা কারণ এটি তার সম্পূর্ণ আক্রমণ শৃঙ্খলকে এন্ড-টু-এন্ড নিয়ন্ত্রণ করে। বিতরণ কেনা, প্রাথমিক অ্যাক্সেস ব্রোকারদের কাছ থেকে অ্যাক্সেস লিজ নেওয়া বা তৃতীয় পক্ষের ট্র্যাফিক পরিষেবার উপর নির্ভর করার পরিবর্তে, TA585 নিজস্ব অবকাঠামো, ডেলিভারি মেকানিক্স এবং ইনস্টলেশন টুলিং পরিচালনা করে। বিশ্লেষকরা ক্লাস্টারটিকে অত্যাধুনিক হিসাবে বর্ণনা করেছেন: অভিনেতা সাফল্য সর্বাধিক করতে এবং বিশ্লেষণ এড়াতে ওয়েব ইনজেকশন, ফিল্টারিং এবং পরিবেশগত পরীক্ষা এবং একাধিক বিতরণ কৌশল ব্যবহার করে।

ফিশিং, ক্লিকফিক্স, এবং আইআরএস-থিমযুক্ত লোভ — সোশ্যাল ইঞ্জিনিয়ারিং প্লেবুক
প্রাথমিক প্রচারণাগুলি মার্কিন অভ্যন্তরীণ রাজস্ব পরিষেবা (IRS) এর চারপাশে থিমযুক্ত ক্লাসিক ফিশিং লোভের উপর নির্ভর করত। লক্ষ্যবস্তুগুলি এমন বার্তা পেয়েছিল যা জাল URL গুলির দিকে ইঙ্গিত করেছিল, যা একটি PDF খুলত; সেই PDF-তে একটি ওয়েব পৃষ্ঠার লিঙ্ক ছিল যা ClickFix সোশ্যাল-ইঞ্জিনিয়ারিং কৌশল ব্যবহার করেছিল। ClickFix একজন শিকারকে Windows Run ডায়ালগ বা PowerShell টার্মিনালের মাধ্যমে একটি কমান্ড চালানোর জন্য প্রতারণা করে, যা তারপর MonsterV2 টানতে এবং স্থাপন করার জন্য একটি ফলো-অন PowerShell স্ক্রিপ্ট কার্যকর করে।

ওয়েব ইনজেকশন এবং জাল ক্যাপচা ওভারলে

২০২৫ সালের এপ্রিলে দেখা যাওয়া পরবর্তী তরঙ্গে, TA585 ক্ষতিকারক জাভাস্ক্রিপ্ট ইনজেকশনের মাধ্যমে বৈধ ওয়েবসাইটগুলিকে আপস করার দিকে ঝুঁকে পড়ে। এই ইনজেকশনগুলি জাল ক্যাপচা যাচাইকরণ ওভারলে তৈরি করে যা আবার ক্লিকফিক্স প্রবাহকে ট্রিগার করে এবং শেষ পর্যন্ত ম্যালওয়্যার ডাউনলোড এবং শুরু করার জন্য একটি পাওয়ারশেল কমান্ড চালু করে। জাভাস্ক্রিপ্ট ইনজেক্ট এবং সম্পর্কিত অবকাঠামো (উল্লেখযোগ্যভাবে intlspring.com) Rhadamanthys Stealer সহ অন্যান্য চুরিকারীদের বিতরণের সাথেও যুক্ত করা হয়েছে।

গিটহাবের অপব্যবহার এবং ভুয়া নিরাপত্তা বিজ্ঞপ্তি

TA585 প্রচারণার তৃতীয় একটি সেট GitHub-এর বিজ্ঞপ্তি ব্যবস্থার অপব্যবহার করেছে: অভিনেতা GitHub ব্যবহারকারীদের জালিয়াতিপূর্ণ 'নিরাপত্তা' নোটিশে ট্যাগ করেছেন যাতে URL গুলি ছিল যা ভুক্তভোগীদের অভিনেতা-নিয়ন্ত্রিত সাইটগুলিতে নির্দেশ করে। এই ভুয়া GitHub সতর্কতাগুলি ছিল আরেকটি ভেক্টর যা ভুক্তভোগীদের একই ClickFix/PowerShell শৃঙ্খলে নিয়ে যাওয়ার জন্য ব্যবহৃত হয়েছিল।

CoreSecThree ফ্রেমওয়ার্ক — ডেলিভারির মেরুদণ্ড

ওয়েব-ইনজেক্ট এবং নকল-গিটহাব অ্যাক্টিভিটি ক্লাস্টারগুলি CoreSecThree-এর সাথে যুক্ত, একটি কাঠামো যা গবেষকরা 'পরিশীলিত' বলে চিহ্নিত করেছেন এবং ২০২২ সালের ফেব্রুয়ারি থেকে ব্যবহার করা হচ্ছে। CoreSecThree ধারাবাহিকভাবে একাধিক প্রচারাভিযানে স্টিলার ম্যালওয়্যার প্রচারের জন্য ব্যবহৃত হয়ে আসছে।

MonsterV2 — উৎপত্তি এবং রূপগুলি

MonsterV2 একটি বহুমুখী হুমকি: একটি রিমোট অ্যাক্সেস ট্রোজান (RAT), স্টিলার এবং লোডার। গবেষকরা প্রথম এটিকে ২০২৫ সালের ফেব্রুয়ারিতে অপরাধমূলক ফোরামে বিজ্ঞাপন দিতে দেখেন। এটিকে 'Aurotun Stealer' ('autorun' এর ভুল বানান) নামেও উল্লেখ করা হয়েছে এবং পূর্বে CastleLoader (CastleBot নামেও পরিচিত) এর মাধ্যমে বিতরণ করা হয়েছে। TA585 কার্যকলাপের পূর্ববর্তী পুনরাবৃত্তিগুলি ২০২৫ সালের প্রথম দিকে MonsterV2-তে পিভট করার আগে Lumma Stealer বিতরণ করেছিল।

বাণিজ্যিক মডেল এবং জিওফেন্সিং

MonsterV2 একটি রাশিয়ান-ভাষী অপারেটর দ্বারা বিক্রি করা হয়। অপরাধমূলক বাজারে মূল্য নির্ধারণ করা হয়েছে: স্ট্যান্ডার্ড সংস্করণ প্রতি মাসে 800 মার্কিন ডলার এবং এন্টারপ্রাইজ সংস্করণ প্রতি মাসে 2,000 মার্কিন ডলার। এন্টারপ্রাইজ স্তরে স্টিলার + লোডার, হিডেন VNC (HVNC) এবং Chrome DevTools প্রোটোকল (CDP) সমর্থন অন্তর্ভুক্ত রয়েছে। স্টিলার উপাদানটি কমনওয়েলথ অফ ইন্ডিপেন্ডেন্ট স্টেটস (CIS) দেশগুলিতে সংক্রামিত হওয়া এড়াতে কনফিগার করা হয়েছে।

প্যাকিং, অ্যান্টি-অ্যানালাইসিস, এবং রানটাইম আচরণ

MonsterV2 সাধারণত SonicCrypt নামে একটি C++ ক্রিপ্টার দিয়ে প্যাক করা থাকে। SonicCrypt পেলোড ডিক্রিপ্ট এবং লোড করার আগে স্তরযুক্ত অ্যান্টি-অ্যানালাইসিস চেক প্রদান করে, যা সনাক্তকরণ এড়িয়ে যাওয়ার সুযোগ করে দেয়। রানটাইমে পেলোড ডিক্রিপ্ট করে, প্রয়োজনীয় Windows API ফাংশনগুলি সমাধান করে এবং বিশেষাধিকার উচ্চতার চেষ্টা করে। এরপর এটি একটি এমবেডেড কনফিগারেশন ডিকোড করে যা এটিকে নির্দেশ দেয় কিভাবে তার কমান্ড-এন্ড-কন্ট্রোল (C2) এর সাথে যোগাযোগ করতে হবে এবং কী পদক্ষেপ নিতে হবে।

MonsterV2 দ্বারা ব্যবহৃত কনফিগারেশন ফ্ল্যাগগুলির মধ্যে রয়েছে:

• anti_dbg — যখন True হয়, তখন ম্যালওয়্যার ডিবাগার সনাক্ত করে এড়িয়ে যাওয়ার চেষ্টা করে।
• anti_sandbox — যখন True হয়, তখন ম্যালওয়্যারটি স্যান্ডবক্স সনাক্তকরণের চেষ্টা করে এবং প্রাথমিক অ্যান্টি-স্যান্ডবক্স কৌশল ব্যবহার করে।
• aurotun — যখন True হয়, তখন ম্যালওয়্যারটি স্থায়িত্ব প্রতিষ্ঠার চেষ্টা করে (ভুল বানানটি 'Aurotun' নামের উৎস)।
• priviledge_escalation — যখন True হয়, তখন ম্যালওয়্যার হোস্টের সুবিধাগুলি বাড়ানোর চেষ্টা করে।

নেটওয়ার্কিং এবং C2 আচরণ

যদি MonsterV2 সফলভাবে তার C2-তে পৌঁছায়, তাহলে এটি প্রথমে একটি পাবলিক সার্ভিস (গবেষকরা api.ipify.org-এ অনুরোধগুলি পর্যবেক্ষণ করেছেন) অনুসন্ধান করে মৌলিক সিস্টেম টেলিমেট্রি এবং ভূ-অবস্থান পাঠায়। C2 প্রতিক্রিয়াতে কার্যকর করার জন্য কমান্ডগুলি থাকে। কিছু পর্যবেক্ষণকৃত ক্রিয়াকলাপে, MonsterV2-ড্রপ করা পেলোডগুলি অন্যান্য পেলোডগুলির (উদাহরণস্বরূপ, StealC) মতো একই C2 সার্ভার ব্যবহার করার জন্য কনফিগার করা হয়েছিল, যদিও অন্যান্য প্রচারাভিযানগুলি সরাসরি TA585-এর সাথে সম্পর্কিত ছিল না।

MonsterV2 এর নথিভুক্ত ক্ষমতাগুলি হল:

প্রশমন এবং সনাক্তকরণ নির্দেশিকা

ডিফেন্ডারদের TA585 কে একটি সক্ষম, উল্লম্বভাবে সমন্বিত অপারেটর হিসেবে বিবেচনা করা উচিত যা সোশ্যাল ইঞ্জিনিয়ারিং, সাইট কম্প্রোমাইজ এবং স্তরযুক্ত অ্যান্টি-অ্যানালাইসিস কৌশলগুলিকে মিশ্রিত করে। সনাক্তকরণের সুযোগগুলির মধ্যে রয়েছে: ওয়েব-ভিত্তিক প্রবাহ থেকে উদ্ভূত সন্দেহজনক পাওয়ারশেল/রান ডায়ালগ কার্যকলাপের জন্য পর্যবেক্ষণ, বৈধ সাইটগুলিতে অস্বাভাবিক জাভাস্ক্রিপ্ট ইনজেকশন সনাক্তকরণ, আচরণগত সনাক্তকরণের মাধ্যমে পরিচিত SonicCrypt-প্যাকড বাইনারিগুলিকে ব্লক করা এবং অপ্রত্যাশিত HVNC/রিমোট-কন্ট্রোল সংযোগ এবং ফাইল এক্সফিল্ট্রেশন প্যাটার্নগুলিকে চিহ্নিত করা। অস্বাভাবিক C2 হোস্টের সাথে যোগাযোগ এবং পাবলিক IP-আবিষ্কার পরিষেবাগুলিতে (যেমন, api.ipify.org) অনুসন্ধানের জন্য পর্যবেক্ষণ, আউটবাউন্ড ডেটা ট্রান্সফারের সাথে একত্রে সংক্রমণও সনাক্ত করতে পারে।

সারাংশ

TA585 একটি স্থিতিস্থাপক হুমকি অভিনেতার প্রতিনিধিত্ব করে যা বিতরণ, বিতরণ এবং পেলোড অপারেশনের উপর নিয়ন্ত্রণ বজায় রাখে। ফিশিং, সাইট-লেভেল জাভাস্ক্রিপ্ট ইনজেকশন, জাল ক্যাপচা ওভারলে এবং বাণিজ্যিক MonsterV2 পেলোড (SonicCrypt সহ প্যাক করা) একত্রিত করে, অভিনেতা ডেটা চুরি এবং রিমোট কন্ট্রোলের জন্য একটি নির্ভরযোগ্য, বহু-ভেক্টর ক্ষমতা একত্রিত করেছেন। অভিনেতার অপারেশনাল পরিপক্কতা এবং MonsterV2 এর মডুলার বৈশিষ্ট্য সেটের কারণে, সংস্থাগুলির ওয়েব-চালিত কমান্ড লঞ্চ, পাওয়ারশেল ডাউনলোড-এক্সিকিউট চেইন, SonicCrypt-প্যাকড বাইনারি এবং সন্দেহজনক HVNC বা এক্সফিল্ট্রেশন কার্যকলাপ সনাক্তকরণকে অগ্রাধিকার দেওয়া উচিত।