OneClik ম্যালওয়্যার

OneClik নামে একটি অত্যাধুনিক সাইবার প্রচারণা প্রতারণামূলক স্থাপনা পদ্ধতি এবং কাস্টম-বিল্ট ম্যালওয়্যারের মিশ্রণ ব্যবহার করে জ্বালানি, তেল এবং গ্যাস খাতকে লক্ষ্য করে চলছে। এই অভিযানের মূলে রয়েছে মাইক্রোসফটের ClickOnce প্রযুক্তির অপব্যবহার এবং RunnerBeacon নামে একটি শক্তিশালী গোল্যাং-ভিত্তিক ব্যাকডোর। যদিও সূচকগুলি চীনা হুমকিদাতাদের সাথে সম্ভাব্য সংযোগের ইঙ্গিত দেয়, তবুও এর জন্য দায়ীত্ব এখনও অস্পষ্ট।

ক্লিকওয়ানস: একটি দ্বিমুখী স্থাপনার টুল

মাইক্রোসফটের ClickOnce উইন্ডোজ অ্যাপ্লিকেশনগুলির স্থাপনা এবং আপডেট প্রক্রিয়া সহজ করার জন্য ডিজাইন করা হয়েছে, যা ন্যূনতম ব্যবহারকারীর মিথস্ক্রিয়ার সাথে ইনস্টলেশনের অনুমতি দেয়। .NET ফ্রেমওয়ার্ক 2.0-এ প্রবর্তিত এই বৈশিষ্ট্যটি প্রশাসনিক অধিকারের প্রয়োজন ছাড়াই সীমিত অনুমতি নিয়ে অ্যাপগুলিকে চালাতে সক্ষম করে।

দুর্ভাগ্যবশত, এই সুবিধাটি ClickOnce-কে সাইবার অপরাধীদের জন্য একটি মূল্যবান সম্পদ করে তুলেছে। একটি বিশ্বস্ত Windows বাইনারি (dfsvc.exe) ব্যবহার করে ক্ষতিকারক অ্যাপ্লিকেশন স্থাপন করা যেতে পারে, যা ClickOnce অ্যাপগুলি পরিচালনা করে। এই অ্যাপ্লিকেশনগুলি dfsvc.exe-এর একটি চাইল্ড প্রসেস হিসাবে কার্যকর করা হয়, যা আক্রমণকারীদের নিরাপত্তা সতর্কতা বা উন্নত সুবিধার প্রয়োজন ছাড়াই গোপনে ক্ষতিকারক কোড চালানোর অনুমতি দেয়।

অনুপ্রবেশ কৌশল: ফিশিং এবং প্রতারণা

আক্রমণের শৃঙ্খলটি শুরু হয় সুপরিকল্পিত ফিশিং ইমেল দিয়ে যা ভুক্তভোগীদের একটি ভুয়া হার্ডওয়্যার বিশ্লেষণ সাইটের দিকে প্রলুব্ধ করে। ভুক্তভোগী একবার সাইটটি পরিদর্শন করলে, dfsvc.exe ব্যবহার করে একটি দূষিত ClickOnce অ্যাপ্লিকেশন সরবরাহ এবং চালু করা হয়।

এই লোডারটি অ্যাপডোমেইনম্যানেজার ইনজেকশন নামে পরিচিত একটি পদ্ধতি ব্যবহার করে মেমোরিতে ক্ষতিকারক কোড ইনজেক্ট করে, যার ফলে একটি এনক্রিপ্ট করা শেলকোড কার্যকর হয়। চূড়ান্ত পেলোড হল রানারবিকন, একটি অত্যাধুনিক গোল্যাং ব্যাকডোর।

রানারবিকন: একটি শক্তিশালী এবং বহুমুখী ইমপ্লান্ট

রানারবিকন ব্যাকডোরটি বিস্তৃত ক্ষমতা সমর্থন করার জন্য তৈরি করা হয়েছে, যার মধ্যে রয়েছে:

• একাধিক প্রোটোকলের মাধ্যমে যোগাযোগ: HTTP(S), WebSockets, raw TCP, এবং SMB নামের পাইপ
• শেল কমান্ড এবং ফাইল সিস্টেমের ক্রিয়াকলাপ সম্পাদন করা
• প্রক্রিয়া গণনা এবং সমাপ্তি
• টোকেন চুরি এবং ছদ্মবেশ ধারণের মাধ্যমে সুবিধা বৃদ্ধি
• একটি নেটওয়ার্কের মধ্যে পার্শ্বীয় গতিবিধি

এতে উন্নত অ্যান্টি-অ্যানালাইসিস এবং এভিয়েশন কৌশলও রয়েছে, পাশাপাশি পোর্ট স্ক্যানিং, পোর্ট ফরওয়ার্ডিং এবং SOCKS5 প্রক্সি করার মতো নেটওয়ার্ক-কেন্দ্রিক ক্রিয়াকলাপগুলির জন্য সমর্থন রয়েছে।

জিকনের ক্লোন?

রানারবিকন, জিকন, জিকন প্লাস এবং জিকন প্রো-এর মতো গো-ভিত্তিক কোবাল্ট স্ট্রাইক ভেরিয়েন্টের সাথে দৃঢ় মিল প্রদর্শন করে। এটি তাদের কমান্ড স্ট্রাকচার, ক্রস-প্রোটোকল যোগাযোগ বৈশিষ্ট্য এবং কর্মক্ষম নমনীয়তা প্রতিফলিত করে। এই বৈশিষ্ট্যগুলি ইঙ্গিত দেয় যে রানারবিকন জিকনের একটি কাস্টমাইজড বা বিকশিত ফোর্ক হতে পারে, যা ক্লাউড পরিবেশে নির্বিঘ্নে মিশে যাওয়ার জন্য পরিমার্জিত।

বিকশিত হুমকি: একাধিক রূপ সনাক্ত করা হয়েছে

সাইবার নিরাপত্তা গবেষকরা শুধুমাত্র ২০২৫ সালের মার্চ মাসেই তিনটি স্বতন্ত্র OneClik রূপ শনাক্ত করেছেন:

• v1a সম্পর্কে
• বিপিআই-এমডিএম
• v1d সম্পর্কে

প্রতিটি সংস্করণে এমন পরিমার্জন অন্তর্ভুক্ত রয়েছে যা স্টিলথ এবং বাইপাস সনাক্তকরণ ব্যবস্থা উন্নত করে। যাইহোক, ২০২৩ সালের সেপ্টেম্বরে মধ্যপ্রাচ্যের তেল ও গ্যাস খাতের একটি কোম্পানিতে রানারবিকনের চিহ্ন ইতিমধ্যেই আবিষ্কৃত হয়েছিল, যা চলমান উন্নয়ন এবং পরীক্ষার ইঙ্গিত দেয়।

কৌশল এবং বৈশিষ্ট্য: পরিচিত কিন্তু অপ্রমাণিত

অ্যাপডোমেইনম্যানেজার ইনজেকশনের ব্যবহার একটি সু-প্রমাণিত কৌশল এবং পূর্বে চীনা এবং উত্তর কোরিয়ার হুমকিদাতাদের সাথে সম্পর্কিত সাইবার প্রচারণায় এটি লক্ষ্য করা গেছে। যাইহোক, কৌশল এবং পদ্ধতির মিল থাকা সত্ত্বেও, গবেষকরা চূড়ান্তভাবে কোনও পরিচিত গোষ্ঠীর সাথে OneClik প্রচারণার জন্য দায়ী করতে সক্ষম হননি।

আপসের লক্ষণ শনাক্ত করার ক্ষেত্রে, প্রতিষ্ঠানগুলিকে এমন ফিশিং ইমেলগুলির জন্য সতর্ক থাকা উচিত যা প্রাপকদের প্রতারণামূলক হার্ডওয়্যার বিশ্লেষণ ওয়েবসাইটগুলিতে নির্দেশ করে, কারণ এগুলি প্রায়শই আক্রমণের প্রাথমিক প্রবেশপথ। আরেকটি সতর্কতা হল dfsvc.exe প্রক্রিয়ার মাধ্যমে চালু করা ClickOnce অ্যাপ্লিকেশনগুলির ব্যবহার, যা দূষিত পেলোডের উপস্থিতি নির্দেশ করতে পারে। AppDomainManager ইনজেকশন কৌশলগুলির সন্দেহজনক স্থাপনা এবং Amazon Web Services (AWS) এ হোস্ট করা আক্রমণকারী-নিয়ন্ত্রিত অবকাঠামোতে বহির্গামী সংযোগগুলিও আপসের শক্তিশালী সূচক।

এই ধরনের হুমকি থেকে রক্ষা পেতে, উদ্যোগগুলির উচিত ClickOnce স্থাপনা নিষ্ক্রিয় করা বা নিবিড়ভাবে পর্যবেক্ষণ করা, বিশেষ করে উচ্চ-ঝুঁকিপূর্ণ পরিবেশে। নিরাপত্তা দলগুলির উচিত dfsvc.exe থেকে উদ্ভূত অস্বাভাবিক চাইল্ড প্রক্রিয়াগুলির উপর নজর রাখা, যা ক্ষতিকারক কার্যকলাপের সংকেত দিতে পারে। এন্ডপয়েন্ট ডিটেকশন এবং রেসপন্স (EDR) সমাধান স্থাপন করা AppDomain ইনজেকশন আচরণ সনাক্তকরণ এবং প্রশমিত করতে সহায়তা করতে পারে। অতিরিক্তভাবে, অপ্রত্যাশিত প্রক্সি আচরণ বা পোর্ট ফরওয়ার্ডিং প্রচেষ্টার মতো অস্বাভাবিক প্রোটোকল ব্যবহারের জন্য নেটওয়ার্ক ট্র্যাফিক পরীক্ষা করা গোপন যোগাযোগ চ্যানেলগুলি সনাক্ত করতে সহায়তা করতে পারে।

উপসংহার

ওয়ানক্লিক প্রচারণাটি তুলে ধরে যে কীভাবে প্রতিপক্ষরা বৈধ প্রযুক্তি কাজে লাগানোর জন্য তাদের কৌশলগুলি ক্রমাগত পরিমার্জন করছে। গুরুত্বপূর্ণ অবকাঠামো খাতের সংস্থাগুলির জন্য, এই ধরনের উন্নত হুমকির প্রভাব হ্রাস করার জন্য একটি সতর্ক অবস্থান বজায় রাখা এবং বহু-স্তরীয় সুরক্ষা প্রতিরক্ষা বাস্তবায়ন অপরিহার্য।