NokNok ম্যাক ম্যালওয়্যার

ইরান থেকে APT35 হিসাবে চিহ্নিত জাতি-রাষ্ট্র সাইবার ক্রাইম অভিনেতা উইন্ডোজ এবং macOS অপারেটিং সিস্টেম উভয়কেই প্রভাবিত করে লক্ষ্যবস্তু বর্শা-ফিশিং আক্রমণের তরঙ্গের সাথে যুক্ত। এই আক্রমণগুলির লক্ষ্য বিশেষ ম্যালওয়্যার সরঞ্জামগুলির সাথে সিস্টেমে অনুপ্রবেশ করা। APT35 হামলার বিশ্লেষণে দেখা গেছে যে হ্যাকাররা একটি অনন্য সংক্রমণ চেইন স্থাপনের জন্য বিভিন্ন ক্লাউড হোস্টিং প্রদানকারীকে নিয়োগ করেছে।

সাইবার অপরাধীরা দুটি পূর্বে অজানা ম্যালওয়্যার হুমকিও নিযুক্ত করেছিল। উইন্ডোজ সিস্টেমে, APT35 GorjolEcho নামে একটি নতুন আবিষ্কৃত পাওয়ারশেল ব্যাকডোর ব্যবহার করেছে। বিকল্পভাবে, যদি শিকারদের একটি অ্যাপল ডিভাইস ব্যবহার করতে দেখা যায়, হ্যাকাররা একটি সংশোধিত সংক্রমণ শৃঙ্খলে স্যুইচ করে যা নকনক হিসাবে ট্র্যাক করা ম্যাক ম্যালওয়্যার হুমকির সাথে জড়িত।

এটি macOS-এর জন্য নির্দিষ্ট দুর্বলতাগুলিকে কাজে লাগাতে অভিনেতার প্রচেষ্টা দেখায়৷

APT35 সাইবার ক্রাইম গ্রুপ তার বর্শা-ফিশিং কৌশলগুলিকে বিকশিত করে চলেছে

APT35, যা চার্মিং কিটেন, TA453, মিন্ট স্যান্ডস্টর্ম এবং ইয়েলো গারুডা নামেও পরিচিত, ইরানের ইসলামি বিপ্লবী গার্ড কর্পস (IRGC) এর সাথে সম্পর্কযুক্ত একটি বিশিষ্ট হুমকি গোষ্ঠী। এই গোষ্ঠীটি কমপক্ষে 2011 সাল থেকে সক্রিয়, ব্যক্তি এবং সংস্থাকে লক্ষ্য করে বিভিন্ন সাইবার অপারেশনে জড়িত। গুপ্তচরবৃত্তির কার্যকলাপে তাদের নিরলস সাধনায়, APT35 বহু-ব্যক্তিত্ব ছদ্মবেশ নামে পরিচিত একটি কৌশল নিযুক্ত করে, যার মধ্যে হুমকি অভিনেতারা লক্ষ্যবস্তুকে প্রতারিত করতে এবং সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস লাভের জন্য একাধিক পরিচয় গ্রহণ করে।

APT35 দ্বারা নিযুক্ত এই অত্যাধুনিক কৌশলগুলি লক্ষ্যবস্তু সাইবার গুপ্তচরবৃত্তি পরিচালনার জন্য তাদের চলমান প্রচেষ্টাকে তুলে ধরে। গ্রুপটি কৌশলগতভাবে হাই-প্রোফাইল লক্ষ্যগুলি নির্বাচন করে এবং বিভিন্ন কৌশল প্রয়োগ করে, যেমন ফিশিং এবং কাস্টম-নির্মিত সরঞ্জামগুলির ব্যবহার, সিস্টেমের সাথে আপস করতে এবং সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস লাভ করতে। APT35 একটি পাওয়ারশেল ইমপ্লান্টের একটি উন্নত সংস্করণ ব্যবহার করে যাকে POWERSTAR নামে পরিচিত, এটিকে GhostEcho বা CharmPowerও বলা হয় ব্যবহার করে তার কৌশলগুলিকে আপডেট করতে দেখা গেছে।

2023 সালের মে মাসের মাঝামাঝি সময়ে ঘটে যাওয়া একটি নির্দিষ্ট আক্রমণের ক্রমানুসারে, APT35-এর হুমকি অভিনেতারা একটি ফিশিং প্রচারণা শুরু করেছিল। তাদের টার্গেট ছিল পরমাণু নিরাপত্তা বিশেষজ্ঞ মার্কিন ভিত্তিক থিঙ্ক ট্যাঙ্কের সাথে যুক্ত একজন পরমাণু বিষয়ক বিষয় নিয়ে। আক্রমণটি একটি Google স্ক্রিপ্ট ম্যাক্রো হিসাবে ছদ্মবেশে একটি দূষিত লিঙ্ক ধারণকারী প্রতারণামূলক ইমেল প্রেরণের জন্য জড়িত। একবার ক্লিক করা হলে, লিঙ্কটি লক্ষ্যটিকে একটি RAR সংরক্ষণাগার হোস্টিং একটি ড্রপবক্স URL-এ পুনঃনির্দেশিত করে।

APT35 নকনক ম্যালওয়্যারের সাথে অ্যাপল ব্যবহারকারীদের আপস করার জন্য বিভিন্ন অ্যাটাক চেইন নিয়োগ করেছে

যদি নির্বাচিত টার্গেট একটি অ্যাপল ডিভাইস ব্যবহার করে, APT35 তার পদ্ধতিগুলিকে সামঞ্জস্য করে এবং একটি গৌণ কৌশল কার্যকর করে বলে জানা গেছে। এটি একটি জিপ আর্কাইভ সহ একটি দ্বিতীয় ইমেল পাঠানোর সাথে জড়িত যা একটি Mach-O বাইনারি ফাইল অন্তর্ভুক্ত করে। ফাইলটি একটি ভিপিএন অ্যাপ্লিকেশন হিসাবে নিজেকে ছদ্মবেশী করে, কিন্তু বাস্তবে, এটি একটি অ্যাপলস্ক্রিপ্ট হিসাবে কাজ করে। কার্যকর করা হলে, এই স্ক্রিপ্টটি NokNok নামক একটি ব্যাকডোর ডাউনলোড শুরু করার জন্য একটি দূরবর্তী সার্ভারের সাথে একটি সংযোগ স্থাপন করে।

NokNok ব্যাকডোর, ইনস্টলেশনের পরে, বিভিন্ন ক্ষমতার অধিকারী চারটি মডিউল পুনরুদ্ধার করে। এই মডিউলগুলি চলমান প্রক্রিয়া, ইনস্টল করা অ্যাপ্লিকেশন এবং সিস্টেম মেটাডেটার মতো তথ্য সংগ্রহ করতে সক্ষম করে। উপরন্তু, তারা LaunchAgents ব্যবহার করে আপস করা সিস্টেমের মধ্যে অধ্যবসায় প্রতিষ্ঠার সুবিধা দেয়।

উল্লেখযোগ্যভাবে, এই মডিউলগুলির কার্যকারিতা POWERSTAR-এর সাথে যুক্ত মডিউলগুলির সাথে একটি আকর্ষণীয় সাদৃশ্য বহন করে, এটি APT35 দ্বারা নিযুক্ত একটি পূর্বে চিহ্নিত সরঞ্জাম। এটি দুটি ম্যালওয়্যার স্ট্রেনের ক্ষমতা এবং উদ্দেশ্যের একটি উল্লেখযোগ্য ওভারল্যাপ নির্দেশ করে। উপরন্তু, NokNok ম্যাকোস ম্যালওয়্যারের সাথে কোডের মিল প্রদর্শন করে যা পূর্বে 2017 সালে একই সাইবার ক্রাইম গ্রুপের জন্য দায়ী করা হয়েছিল।

তাদের কৌশল আরও উন্নত করতে, হ্যাকাররা একটি প্রতারণামূলক ফাইল-শেয়ারিং ওয়েবসাইটও প্রতিষ্ঠা করেছে। এই ওয়েবসাইটটি সম্ভবত দর্শকদের আঙ্গুলের ছাপ দেওয়ার, সম্ভাব্য শিকারদের সম্পর্কে তথ্য সংগ্রহ করার এবং তাদের আক্রমণের সাফল্য নিরীক্ষণ করার জন্য একটি ট্র্যাকিং প্রক্রিয়া হিসাবে কাজ করে।

TA453 দ্বারা নিযুক্ত এই অভিযোজিত কৌশলগুলি অ্যাপল ব্যবহারকারীদের লক্ষ্য করার এবং তাদের সিস্টেমগুলিকে শোষণ করার জন্য তাদের চলমান প্রচেষ্টা প্রদর্শন করে। এটি দৃঢ় সুরক্ষা অনুশীলনগুলি বজায় রাখার গুরুত্বকে বোঝায়, যেমন নিয়মিত সফ্টওয়্যার আপডেট করা, নির্ভরযোগ্য অ্যান্টিভাইরাস সমাধান নিয়োগ করা এবং ইমেল সংযুক্তির সাথে ইন্টারঅ্যাক্ট করার সময় বা অবিশ্বস্ত উত্স থেকে ফাইল ডাউনলোড করার সময় সতর্কতা অবলম্বন করা। ক্রমবর্ধমান হুমকি সম্পর্কে অবগত থাকার এবং ব্যাপক নিরাপত্তা ব্যবস্থা বাস্তবায়নের মাধ্যমে, ব্যবহারকারীরা APT35-এর মতো হুমকি অভিনেতাদের কার্যকলাপ থেকে নিজেদেরকে আরও ভালভাবে রক্ষা করতে পারে।