MuddyViper Backdoor

সম্প্রতি গুপ্তচরবৃত্তির এক ঢেউ শিক্ষা, প্রকৌশল, স্থানীয় সরকার, উৎপাদন, প্রযুক্তি, পরিবহন এবং ইউটিলিটি জুড়ে বিস্তৃত ইসরায়েলি সংস্থাগুলির উপর নির্ভর করছে। ইরানের রাষ্ট্র-সংযুক্ত ব্যক্তিদের দ্বারা পরিচালিত এই অভিযানের ফলে, পূর্বে অজানা ব্যাকডোর MuddyViper নামে একটি গোপন চক্রের সূচনা হয়, যা এই গোষ্ঠীর কৌশলের নতুন বৃদ্ধির ইঙ্গিত দেয়। মিশর-ভিত্তিক একটি প্রযুক্তি সংস্থাও এই অভিযানের মধ্যে পড়ে, ২০২৪ সালের সেপ্টেম্বরের শেষ থেকে ২০২৫ সালের মার্চের মাঝামাঝি পর্যন্ত এই অভিযান পরিচালিত হয়েছিল।

সম্প্রসারণ ক্ষমতাসম্পন্ন এক পরিচিত প্রতিপক্ষ

এই হামলাগুলি MuddyWater-এর সাথে যুক্ত, যা ম্যাঙ্গো স্যান্ডস্টর্ম, স্ট্যাটিক কিটেন, বা TA450 নামেও পরিচিত, ইরানের গোয়েন্দা ও নিরাপত্তা মন্ত্রণালয়ের অধীনে পরিচালিত একটি গোষ্ঠী। কমপক্ষে ২০১৭ সাল থেকে সক্রিয়, MuddyWater-এর গুপ্তচরবৃত্তি এবং ধ্বংসাত্মক কর্মকাণ্ডের দীর্ঘ রেকর্ড রয়েছে, যার মধ্যে পূর্ববর্তী POWERSTATS প্রচারণা এবং অপারেশন Quicksand-এর সময় PowGoop র‍্যানসমওয়্যার ব্যবহার অন্তর্ভুক্ত রয়েছে।

প্রকাশিত অনুসন্ধান অনুসারে, এই গোষ্ঠীটি স্থানীয় কর্তৃপক্ষ, বিমান পরিবহন, পর্যটন, স্বাস্থ্যসেবা, টেলিকম নেটওয়ার্ক, আইটি সরবরাহকারী এবং ক্ষুদ্র ও মাঝারি শিল্পের (এসএমই) বিস্তৃত ইসরায়েলি লক্ষ্যবস্তুতে হামলা চালিয়ে যাচ্ছে।

তাদের বিকশিত প্লেবুক: সোশ্যাল ইঞ্জিনিয়ারিং থেকে শুরু করে ভিপিএন দুর্বলতাগুলিকে কাজে লাগানো পর্যন্ত

হুমকিদাতারা সাধারণত স্পিয়ার-ফিশিং ইমেল এবং পরিচিত ভিপিএন দুর্বলতার অপব্যবহারের উপর নির্ভর করে প্রবেশাধিকার লাভ করে। ঐতিহাসিকভাবে, এই অনুপ্রবেশের মধ্যে বৈধ রিমোট অ্যাডমিনিস্ট্রেশন টুল ব্যবহার করা জড়িত ছিল - যা মাডিওয়াটারের কার্যক্রমের একটি বৈশিষ্ট্য। তবে, ২০২৪ সালের মে মাস থেকে, তাদের ফিশিং ইমেলগুলি বাগস্লিপ (যাকে মাডিরটও বলা হয়) নামে পরিচিত একটি গোপন ব্যাকডোর সরবরাহ করা শুরু করেছে, যা আরও কাস্টমাইজড টুলিংয়ের দিকে পরিবর্তন দেখায়।

গ্রুপটির বিস্তৃত অস্ত্রাগার বিস্তৃত এবং এর মধ্যে রয়েছে ব্ল্যাকআউট, অ্যাঙ্করর্যাট, ক্যাননর্যাট, নেশতা এবং স্যাড সি২ ফ্রেমওয়ার্ক, যা ট্রেজারবক্স এবং ব্ল্যাকপার্ল আরএটির মতো লোডার প্রচারে সহায়তা করে।

ফিশিং প্রথম ধাপ হিসেবেই রয়ে গেছে

সাম্প্রতিক আক্রমণের ধারা এখনও পিডিএফ সংযুক্তি সম্বলিত ক্ষতিকারক ইমেল দিয়ে শুরু হয়। এই পিডিএফগুলি ভুক্তভোগীদের Atera, Level, PDQ এবং SimpleHelp এর মতো বহুল ব্যবহৃত রিমোট টুল ডাউনলোডের দিকে নির্দেশ করে। একবার অবস্থান তৈরি হয়ে গেলে, আক্রমণকারীরা আরও বিশেষায়িত উপাদান স্থাপনের দিকে এগিয়ে যায়।

ফুডার এবং মাডিভাইপারের সাথে পরিচয় করিয়ে দিচ্ছি

এই প্রচারণায় ফুডার নামে একটি লোডার উল্লেখযোগ্যভাবে ব্যবহৃত হয়েছে, যা C/C++-ভিত্তিক MuddyViper ব্যাকডোর ডিক্রিপ্ট এবং এক্সিকিউট করার জন্য তৈরি। ফুডারের বিভিন্ন ভেরিয়েন্টকে go-socks5 টানেলিং ইউটিলিটি এবং ওপেন-সোর্স HackBrowserData টুল বিতরণ করতে দেখা গেছে যা অসংখ্য প্ল্যাটফর্ম থেকে ব্রাউজার ডেটা সংগ্রহ করে (Safari বাদে)।

MuddyViper নিজেই ব্যাপক নিয়ন্ত্রণ প্রদান করে, যার ফলে অপারেটররা সিস্টেমের বিবরণ সংগ্রহ করতে, ফাইল এবং কমান্ড চালাতে, ডেটা ভিতরে এবং বাইরে স্থানান্তর করতে এবং উইন্ডোজ শংসাপত্র এবং ব্রাউজারের তথ্য চুরি করতে সক্ষম হয়। গোপন অ্যাক্সেস বজায় রাখার জন্য এটি 20 টি অন্তর্নির্মিত কমান্ড সমর্থন করে। কিছু Fooder ভেরিয়েন্ট নিজেদেরকে ক্লাসিক স্নেক গেমের মতো ছদ্মবেশে রাখে এবং সনাক্তকরণ এড়াতে বিলম্বিত সম্পাদনের উপর নির্ভর করে, এই কৌশলটি প্রথম 2025 সালের সেপ্টেম্বরে উল্লেখ করা হয়েছিল।

অপারেশনে পরিলক্ষিত অতিরিক্ত সরঞ্জাম

গবেষকরা স্থায়িত্ব, শংসাপত্র চুরি এবং তথ্য সংগ্রহের জন্য ডিজাইন করা বেশ কয়েকটি সহায়ক ইউটিলিটির স্থাপনার নথিভুক্তিও করেছেন:

VAXOne – Veeam, AnyDesk, Xerox, অথবা OneDrive আপডেটারের ছদ্মবেশে তৈরি একটি ব্যাকডোর।

সিই-নোটস - একটি ব্রাউজার-ডেটা চুরির টুল যা লোকাল স্টেট এনক্রিপশন কী চুরি করে ক্রোমের অ্যাপ-বাউন্ড এনক্রিপশনকে বাইপাস করার জন্য ডিজাইন করা হয়েছে।

Blub – AC/C++ স্টিলার যা Chrome, Edge, Firefox এবং Opera থেকে লগইন ডেটা সংগ্রহ করে।

LP-Notes – AC/C++ ক্রেডেনশিয়াল-হারভেস্টিং টুল যা ব্যবহারকারীদের লগইন বিশদ প্রবেশ করানোর জন্য একটি প্রতারণামূলক উইন্ডোজ সিকিউরিটি প্রম্পট প্রদর্শন করে।

লাইসিয়ামের সাথে সহযোগিতা: একটি অপারেশনাল ওভারল্যাপের উত্থান

তদন্তে জানা গেছে যে MuddyWater-এর কার্যকলাপ Lyceum (যা Hexane, Spirlin, অথবা Siamesekitten নামেও পরিচিত) এর কার্যক্রমের সাথে ছেদ করে, যা OilRig (APT34) এর একটি উপগোষ্ঠী, যা কমপক্ষে 2018 সাল থেকে আঞ্চলিক সাইবার গুপ্তচরবৃত্তিতে সক্রিয়।

২০২৫ সালের গোড়ার দিকে শনাক্ত হওয়া ঘটনাগুলির সময়, MuddyWater সম্ভবত একটি ইসরায়েলি উৎপাদনকারী প্রতিষ্ঠানের অভ্যন্তরে রিমোট ডেস্কটপ সরঞ্জাম এবং একটি কাস্টমাইজড মিমিকাটজ লোডার মোতায়েন করে প্রাথমিক অ্যাক্সেস ব্রোকার হিসেবে কাজ করেছিল। চুরি হওয়া শংসাপত্রগুলি সম্ভবত Lyceum দ্বারা অ্যাক্সেস সম্প্রসারণ এবং পরিচালনাগত নিয়ন্ত্রণ গ্রহণের জন্য ব্যবহার করা হয়েছিল।

ক্রমবর্ধমান কর্মক্ষম পরিপক্কতার লক্ষণ

নতুন উপাদান, বিশেষ করে ফুডার লোডার এবং মাডিভাইপার ব্যাকডোর, প্রবর্তনের মাধ্যমে মাডিওয়াটারের প্রযুক্তিগত এবং পরিচালনাগত পরিশীলিততার একটি উল্লেখযোগ্য অগ্রগতি তুলে ধরা হয়েছে। গ্রুপটি স্পষ্টতই গোপনে স্থায়িত্ব প্রক্রিয়া, আরও দক্ষ শংসাপত্র চুরি এবং আরও গভীর অনুসন্ধান ক্ষমতায় বিনিয়োগ করছে।

এই অভিযানটি ইরান-সমর্থিত সাইবার অপারেটরদের কাছ থেকে অব্যাহত এবং ক্রমবর্ধমান হুমকির উপর জোর দেয়। তাদের কাস্টম ম্যালওয়্যার, স্টিলথি লোডার, বৈধ রিমোট অ্যাডমিনিস্ট্রেশন টুল এবং ক্রস-গ্রুপ সহযোগিতার মিশ্রণ থেকে বোঝা যায় যে এই অঞ্চলের সংস্থাগুলিকে অবশ্যই উচ্চতর সতর্ক থাকতে হবে এবং ক্রমবর্ধমান জটিল অনুপ্রবেশ কৌশলের বিরুদ্ধে প্রতিরক্ষা জোরদার করতে হবে।