পেআউটস কিং র‍্যানসমওয়্যার

Payouts King র‍্যানসমওয়্যার অপারেশনটি QEMU-কে একটি রিভার্স SSH ব্যাকডোর হিসেবে ব্যবহার করে একটি অত্যন্ত ফাঁকি দেওয়ার মতো কৌশল চালু করেছে। এই পদ্ধতিটি আক্রমণকারীদেরকে আক্রান্ত সিস্টেমে সরাসরি লুকানো ভার্চুয়াল মেশিন (VM) স্থাপন করার সুযোগ দেয়, যার ফলে প্রচলিত এন্ডপয়েন্ট নিরাপত্তা নিয়ন্ত্রণগুলো কার্যকরভাবে এড়িয়ে যাওয়া যায়।

QEMU, একটি ওপেন-সোর্স সিপিইউ এমুলেটর এবং ভার্চুয়ালাইজেশন প্ল্যাটফর্ম, যা একটি হোস্ট ডিভাইসে অপারেটিং সিস্টেমকে ভার্চুয়াল মেশিন হিসেবে চালাতে সক্ষম করে। যেহেতু বেশিরভাগ নিরাপত্তা সমাধান এই ভিএমগুলোর ভেতরের কার্যকলাপ পর্যবেক্ষণ করতে পারে না, তাই আক্রমণকারীরা এই দুর্বলতার সুযোগ নিয়ে ক্ষতিকারক পেলোড কার্যকর করে, ক্ষতিকর ডেটা সংরক্ষণ করে এবং SSH সংযোগের মাধ্যমে গোপন রিমোট অ্যাক্সেস টানেল স্থাপন করে।

এই কৌশলটি সম্পূর্ণ নতুন নয়। 3AM র‍্যানসমওয়্যার গ্রুপ, LoudMiner এবং CRON#TRAP ফিশিং ক্যাম্পেইনের মতো গোষ্ঠীগুলির সাথে যুক্ত অপারেশনগুলিতে QEMU-এর অনুরূপ অপব্যবহার দেখা গেছে।

STAC4713 প্রচারণার ভিতরে

নিরাপত্তা গবেষকরা QEMU মোতায়েন-সম্পর্কিত দুটি প্রধান ক্যাম্পেইন শনাক্ত করেছেন, যার মধ্যে একটি STAC4713 নামে ট্র্যাক করা হচ্ছে এবং এটি প্রথম নভেম্বর ২০২৫-এ দেখা যায়। এই ক্যাম্পেইনটি Payouts King র‍্যানসমওয়্যার অপারেশনের সাথে সরাসরি যুক্ত এবং GOLD ENCOUNTER গ্রুপের কাজ বলে মনে করা হয়।

গোল্ড এনকাউন্টার ভিএমওয়্যার (VMware) এবং ইএসএক্সআই (ESXi) পরিবেশে হাইপারভাইজরকে লক্ষ্যবস্তু করা এবং এনক্রিপ্টর স্থাপন করার জন্য পরিচিত। এই অভিযানের অংশ হিসেবে, আক্রমণকারীরা TPMProfiler নামের একটি নির্ধারিত টাস্ক তৈরি করে স্থায়িত্ব ও গোপনীয়তা প্রতিষ্ঠা করে, যা সিস্টেম-স্তরের বিশেষাধিকারসহ একটি লুকানো QEMU ভার্চুয়াল মেশিন চালু করে।

শনাক্তকরণ এড়ানোর জন্য, ক্ষতিকারক ভার্চুয়াল ডিস্ক ফাইলগুলোকে বৈধ ডাটাবেস এবং ডিএলএল ফাইল হিসেবে ছদ্মবেশ দেওয়া হয়। এছাড়াও, রিভার্স এসএসএইচ টানেলের মাধ্যমে সংক্রমিত সিস্টেমে গোপনে প্রবেশের সুবিধার্থে পোর্ট ফরওয়ার্ডিং কনফিগার করা থাকে। স্থাপন করা ভিএম-টি অ্যালপাইন লিনাক্স ৩.২২.০ দ্বারা চালিত হয় এবং এতে অ্যাডাপটিক্সসি২, চিজেল, বিজিবক্স এবং আরক্লোনের মতো আক্রমণকারী ইউটিলিটিগুলোর একটি টুলকিট অন্তর্ভুক্ত থাকে।

প্রাথমিক প্রবেশাধিকার এবং শোষণের পথ

আক্রমণকারীরা লক্ষ্যবস্তুর পরিবেশের ওপর নির্ভর করে একাধিক প্রবেশপথ ব্যবহার করে প্রাথমিক প্রবেশাধিকার লাভের ক্ষেত্রে নমনীয়তা দেখিয়েছে। প্রথম দিকের ঘটনাগুলোতে অরক্ষিত সনিকওয়াল ভিপিএন সিস্টেম জড়িত ছিল, অন্যদিকে সাম্প্রতিক আক্রমণগুলোতে CVE-2025-26399 ত্রুটিটি কাজে লাগানো হয়েছে।

পরবর্তী অভিযানগুলিতে পরিলক্ষিত অতিরিক্ত অনুপ্রবেশ পদ্ধতিগুলির মধ্যে রয়েছে:

• উন্মুক্ত সিসকো এসএসএল ভিপিএন পরিষেবার নিরাপত্তা লঙ্ঘন
• মাইক্রোসফট টিমস-এর মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিং, যেখানে আক্রমণকারীরা আইটি কর্মীদের ছদ্মবেশ ধারণ করে।
• কুইক অ্যাসিস্টের মাধ্যমে ক্ষতিকারক পেলোড সরবরাহ

এই বিভিন্ন পন্থাগুলো প্রযুক্তিগত শোষণ এবং মানুষ-কেন্দ্রিক প্রতারণার একটি মিশ্রণকে তুলে ধরে।

আপস-পরবর্তী কার্যক্রম এবং ডেটা চুরি

একবার কোনো নেটওয়ার্কে প্রবেশ করার পর, আক্রমণকারীরা সংবেদনশীল ডেটা বের করে নিতে এবং নিজেদের অবস্থান আরও শক্তিশালী করতে উন্নত পোস্ট-এক্সপ্লয়টেশন কৌশল ব্যবহার করে। এই প্রক্রিয়ায় সাধারণত VSS (vssuirun.exe) ব্যবহার করে শ্যাডো কপি তৈরি করা হয় এবং এরপর SMB প্রোটোকল কাজে লাগিয়ে NTDS.dit, SAM, এবং SYSTEM রেজিস্ট্রি হাইভের মতো গুরুত্বপূর্ণ সিস্টেম ফাইলগুলোকে অস্থায়ী ডিরেক্টরিতে কপি করা হয়।

পরবর্তী পর্যায়ে, ADNotificationManager.exe-এর মতো বৈধ বাইনারিগুলোকে অপব্যবহার করে ক্ষতিকারক পেলোড, বিশেষত একটি Havoc C2 কম্পোনেন্ট (vcruntime140_1.dll), সাইডলোড করা হয়। এরপর Rclone ব্যবহার করে ডেটা এক্সফিলট্রেশন চালানো হয় এবং চুরি করা তথ্য দূরবর্তী SFTP সার্ভারে স্থানান্তর করা হয়।

র‍্যানসমওয়্যারের সক্ষমতা এবং এনক্রিপশন কৌশল

Payouts King র‍্যানসমওয়্যার স্ট্রেইনটি শক্তিশালী প্রযুক্তিগত উৎকর্ষতা প্রদর্শন করে। এটি শনাক্তকরণ এড়ানোর জন্য ব্যাপক তথ্য গোপন ও বিশ্লেষণ-বিরোধী কৌশল ব্যবহার করে, এবং একই সাথে নির্ধারিত টাস্কের মাধ্যমে নিজের অস্তিত্ব বজায় রাখে ও নিম্ন-স্তরের সিস্টেম কলের মাধ্যমে নিরাপত্তা টুলগুলোকে নিষ্ক্রিয় করে দেয়।

এর এনক্রিপশন পদ্ধতিতে CTR মোডে AES-256 এবং RSA-4096-এর সমন্বয় ঘটানো হয়, যা বড় ফাইলগুলোর গতি ও কার্যকারিতা সর্বোচ্চ করতে বিরতিহীন এনক্রিপশন প্রয়োগ করে। মুক্তিপণের বার্তার মাধ্যমে ভুক্তভোগীদের ডার্ক ওয়েবের তথ্য ফাঁসের সাইটগুলোতে পাঠানো হয়, এবং তথ্য ফাঁসের হুমকির মাধ্যমে চাপ বাড়ানো হয়।

প্রমাণ থেকে ধারণা করা যায় যে, এই র‍্যানসমওয়্যার অভিযানটি ব্ল্যাক বাস্টা গ্রুপের প্রাক্তন সহযোগীদের সাথে যুক্ত থাকতে পারে, যার ভিত্তি হলো স্প্যাম বোম্বিং, মাইক্রোসফট টিমস-এর মাধ্যমে ফিশিং এবং রিমোট অ্যাক্সেস টুলের অপব্যবহারের মতো কৌশলগুলোর মধ্যে সাদৃশ্য।

আপোসের যে মূল সূচকগুলোর উপর নজর রাখতে হবে

এই ক্রমবর্ধমান হুমকি মোকাবেলার জন্য প্রতিষ্ঠানগুলোর নিম্নলিখিত সতর্ক সংকেতগুলোর ওপর নজর রাখা উচিত:

• QEMU-এর অননুমোদিত ইনস্টলেশন বা নির্বাহ
• উচ্চতর সিস্টেম প্রিভিলেজ সহ সন্দেহজনক নির্ধারিত টাস্ক চলছে
• অস্বাভাবিক SSH পোর্ট ফরওয়ার্ডিং কার্যকলাপ
• অ-মানক পোর্ট ব্যবহার করে বহির্গামী SSH টানেল

এই সূচকগুলো আগেভাগে শনাক্ত করা গেলে দীর্ঘস্থায়ী নিরাপত্তাহীনতা এবং তথ্য হারানোর ঝুঁকি উল্লেখযোগ্যভাবে কমানো যায়।