উত্তর কোরিয়ার সাইবার গ্রুপ RokRAT ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য উইন্ডোজ জিরো-ডে ব্যবহার করে

সাইবার আক্রমণের একটি নতুন তরঙ্গে, উত্তর কোরিয়ার হ্যাকিং গ্রুপ ScarCruft উইন্ডোজে শূন্য-দিনের দুর্বলতার শোষণের সাথে যুক্ত হয়েছে৷ এই ত্রুটি আক্রমণকারীদের RokRAT নামে পরিচিত একটি বিপজ্জনক ম্যালওয়্যার ছড়িয়ে দেওয়ার অনুমতি দেয়৷ প্যাচ করা সত্ত্বেও, দুর্বলতা, CVE-2024-38178 হিসাবে চিহ্নিত, ইন্টারনেট এক্সপ্লোরার মোডে মাইক্রোসফ্টের এজ ব্রাউজার ব্যবহার করে সিস্টেমগুলিকে উন্মুক্ত করেছে৷

দুর্বলতা: CVE-2024-38178

ইন্টারনেট এক্সপ্লোরার মোডের স্ক্রিপ্টিং ইঞ্জিনে CVE-2024-38178 দুর্বলতা একটি মেমরি দুর্নীতির সমস্যা। 7.5 এর CVSS স্কোর সহ, এটি একটি গুরুতর নিরাপত্তা ঝুঁকি তৈরি করেছে। যদি শোষিত হয়, ত্রুটিটি আপোসকৃত মেশিনে দূরবর্তী কোড কার্যকর করতে সক্ষম করে। এর জন্য আক্রমণকারীকে ব্যবহারকারীকে একটি দূষিত URL-এ ক্লিক করার জন্য প্রতারণা করতে হবে। একবার এই ক্রিয়াটি সঞ্চালিত হলে, দূষিত কোড কার্যকর হবে, সিস্টেমটিকে দুর্বল করে দেবে।

মাইক্রোসফ্ট তার আগস্ট 2024 প্যাচ মঙ্গলবার আপডেটগুলিতে ত্রুটিটি সমাধান করেছে। যাইহোক, প্যাচের আগে, ScarCruft সফলভাবে ম্যালওয়্যার ছড়ানোর দুর্বলতাকে কাজে লাগায়, বিশেষ করে দক্ষিণ কোরিয়ার ব্যবহারকারীদের লক্ষ্য করে। AhnLab সিকিউরিটি ইন্টেলিজেন্স সেন্টার (ASEC) এবং দক্ষিণ কোরিয়ার ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (NCSC) ত্রুটিটি আবিষ্কার করেছে এবং রিপোর্ট করেছে। তারা প্রচারণার নাম দিয়েছে "অপারেশন কোড অন টোস্ট।"

ScarCruft এর আক্রমণ কৌশল

ScarCruft, অন্যান্য উপনাম যেমন APT37, RedEyes এবং InkySquid দ্বারাও পরিচিত, পুরানো বা অসমর্থিত সফ্টওয়্যারগুলির দুর্বলতাগুলিকে কাজে লাগানোর জন্য কুখ্যাত। এই সময়, তাদের কৌশলটি দক্ষিণ কোরিয়ায় সাধারণত ব্যবহৃত একটি টোস্ট বিজ্ঞাপন প্রোগ্রাম জড়িত। এই "টোস্ট" বিজ্ঞাপনগুলি পপ-আপ বিজ্ঞপ্তিগুলিকে নির্দেশ করে যা স্ক্রিনের নীচে-ডানদিকে প্রদর্শিত হয়৷

এই ক্ষেত্রে, আক্রমণকারীরা একটি দেশীয় বিজ্ঞাপন সংস্থার সার্ভারের সাথে আপস করেছে। তারা টোস্ট বিজ্ঞাপনগুলিকে চালিত করে এমন স্ক্রিপ্টে শোষণ কোড ইনজেকশন করেছিল, যা তারপরে বোবি-ট্র্যাপড সামগ্রী ডাউনলোড এবং রেন্ডার করেছিল। বিষয়বস্তু দুর্বলতা সৃষ্টি করেছে, বিশেষ করে ইন্টারনেট এক্সপ্লোরারের জাভাস্ক্রিপ্ট ইঞ্জিন (jscript9.dll) লক্ষ্য করে।

RokRAT ম্যালওয়ারের ভূমিকা

একবার দুর্বলতা কাজে লাগানো হলে, ScarCruft সংক্রামিত মেশিনে RokRAT ম্যালওয়্যার ইনস্টল করে। RokRAT একটি বহুমুখী এবং বিপজ্জনক ম্যালওয়্যার যা বিভিন্ন ক্রিয়া করতে সক্ষম:

RokRAT-এর একটি উল্লেখযোগ্য দিক হল এটির বৈধ ক্লাউড পরিষেবা যেমন ড্রপবক্স, গুগল ক্লাউড, এবং ইয়ানডেক্স ক্লাউড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার হিসেবে ব্যবহার করা। এটি ম্যালওয়্যারকে স্বাভাবিক নেটওয়ার্ক ট্রাফিকের সাথে মিশে যেতে দেয়, যা এন্টারপ্রাইজ পরিবেশে সনাক্ত করা কঠিন করে তোলে।

ScarCruft দ্বারা পূর্ববর্তী শোষণ

ScarCruft দুর্বলতা শোষণের একটি ইতিহাস আছে, বিশেষ করে ইন্টারনেট এক্সপ্লোরারের স্ক্রিপ্টিং ইঞ্জিনে। অতীতে, তারা CVE-2020-1380 এবং CVE-2022-41128 শোষণের সাথে যুক্ত ছিল। এই দুর্বলতাগুলি, যেমন CVE-2024-38178, দূরবর্তী কোড কার্যকর করার অনুমতি দেয় এবং একইভাবে ম্যালওয়্যার ছড়াতে ব্যবহৃত হয়।

প্রতিরক্ষা এবং সুপারিশ

সাইবার নিরাপত্তা বিশেষজ্ঞরা সতর্ক করেছেন যে উত্তর কোরিয়ার হুমকি অভিনেতারা সাম্প্রতিক বছরগুলিতে আরও পরিশীলিত হয়ে উঠেছে। তারা এখন শুধু ইন্টারনেট এক্সপ্লোরারেই নয় বরং বিভিন্ন সফ্টওয়্যার সিস্টেম জুড়ে দুর্বলতার একটি বিস্তৃত পরিসরকে লক্ষ্য করছে।

অনুরূপ আক্রমণ থেকে রক্ষা করার জন্য, সংস্থা এবং ব্যক্তিদের উচিত:

• নিয়মিত অপারেটিং সিস্টেম এবং সফটওয়্যার আপডেট করুন।
• সর্বশেষ নিরাপত্তা প্যাচ ইনস্টল করুন.
• ইউআরএলে ক্লিক করার সময় সতর্কতা অবলম্বন করুন, বিশেষ করে পপ-আপ বিজ্ঞাপনগুলিতে।

সিস্টেম আপডেট করে এবং সন্দেহজনক লিঙ্ক সম্পর্কে সচেতন থাকার মাধ্যমে, ব্যবহারকারীরা ScarCruft-এর মতো গোষ্ঠীগুলির দ্বারা সৃষ্ট ঝুঁকিগুলি হ্রাস করতে পারে।