PHANTOMPULSE RAT

একটি অত্যাধুনিক সোশ্যাল ইঞ্জিনিয়ারিং ক্যাম্পেইন আবির্ভূত হয়েছে, যা ফ্যান্টমপালস (PHANTOMPULSE) নামে পরিচিত পূর্বে অনুল্লিখিত একটি উইন্ডোজ রিমোট অ্যাক্সেস ট্রোজান ছড়ানোর জন্য প্রাথমিক প্রবেশপথ হিসেবে অবসিডিয়ানকে (Obsidian) ব্যবহার করছে। এই ক্যাম্পেইনটি বিশেষভাবে আর্থিক এবং ক্রিপ্টোকারেন্সি খাতে কর্মরত ব্যক্তিদের লক্ষ্য করে, এবং প্রচলিত নিরাপত্তা প্রত্যাশাগুলোকে পাশ কাটাতে বৈধ সরঞ্জামগুলোর ওপর বিশ্বাসকে কাজে লাগায়।

অপারেশন REF6598: পেশাদার নেটওয়ার্কের মাধ্যমে প্রতারণা

সাইবার নিরাপত্তা গবেষকদের দ্বারা REF6598 হিসেবে চিহ্নিত এই প্রচারাভিযানটি লিঙ্কডইন এবং টেলিগ্রামের মাধ্যমে উন্নত সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে। প্রাথমিকভাবে একটি ভেঞ্চার ক্যাপিটাল ফার্মের সাথে সহযোগিতার ভান করে লক্ষ্যবস্তুদের সাথে যোগাযোগ করা হয়। এরপর কথোপকথনগুলো টেলিগ্রাম গ্রুপ চ্যাটে নিয়ে যাওয়া হয়, যেখানে ছদ্মবেশী 'অংশীদার'দের রাখা হয়, যা বৈধতার একটি বিশ্বাসযোগ্য আবরণ তৈরি করে।

এই গ্রুপগুলোর মধ্যে আর্থিক পরিষেবা এবং ক্রিপ্টোকারেন্সি লিকুইডিটি কৌশল নিয়ে আলোচনা হয়, যা বিশ্বাসযোগ্যতা বাড়ায়। ভুক্তভোগীদের শেষ পর্যন্ত প্রদত্ত ক্রেডেনশিয়াল ব্যবহার করে ক্লাউডে হোস্ট করা একটি অবসিডিয়ান ভল্টের মাধ্যমে একটি শেয়ার করা ড্যাশবোর্ডে প্রবেশ করার নির্দেশ দেওয়া হয়।

লুকানো ট্রিগার: বিদ্বেষপূর্ণ ভল্ট সক্রিয়করণ

যখন ভুক্তভোগী Obsidian-এর মধ্যে থাকা শেয়ার্ড ভল্টটি খোলে, তখন সংক্রমণ শৃঙ্খলটি সক্রিয় হয়। এই পর্যায়ে, ব্যবহারকারীকে 'ইনস্টল করা কমিউনিটি প্লাগইন'-এর জন্য সিঙ্ক্রোনাইজেশন চালু করতে বলা হয়, যা ডিফল্টরূপে নিষ্ক্রিয় থাকে। এই ম্যানুয়াল কাজটি অত্যন্ত গুরুত্বপূর্ণ, কারণ এর মাধ্যমে এমবেডেড ক্ষতিকারক কনফিগারেশনগুলো কার্যকর হতে পারে।

আক্রমণকারীরা অননুমোদিত কোড চালানোর জন্য বৈধ প্লাগইন, বিশেষ করে শেল কমান্ডস এবং হাইডার-কে কাজে লাগায়। শেল কমান্ডস কোড কার্যকর করতে সাহায্য করলেও, হাইডার স্ট্যাটাস বার এবং টুলটিপের মতো ইন্টারফেস উপাদানগুলোকে আড়াল করে, ফলে শনাক্ত হওয়ার সম্ভাবনা কমে যায়। এই আক্রমণটি সম্পূর্ণরূপে ব্যবহারকারীকে প্লাগইন সিনক্রোনাইজেশন চালু করতে রাজি করানোর উপর নির্ভর করে, যার মাধ্যমে অন্তর্নির্মিত সুরক্ষা ব্যবস্থাগুলো এড়িয়ে যাওয়া হয়।

পরিকল্পিত ফাঁকি: বৈধ বৈশিষ্ট্যের উপর নির্ভর করে জীবনযাপন

এই ক্যাম্পেইনটি সফটওয়্যারের দুর্বলতা কাজে লাগানোর পরিবর্তে, বিশ্বস্ত অ্যাপ্লিকেশন কার্যকারিতার কৌশলগত অপব্যবহারের জন্য বিশেষভাবে উল্লেখযোগ্য। এর প্রধান বৈশিষ্ট্যগুলো হলো:

• ক্ষতিকর পেলোডগুলো JSON কনফিগারেশন ফাইলের মধ্যে এমবেড করা থাকে, যার ফলে প্রচলিত অ্যান্টিভাইরাস ডিটেকশন দ্বারা এগুলো সক্রিয় হওয়ার সম্ভাবনা কম থাকে।
• এক্সিকিউশন একটি সাইনড ইলেকট্রন-ভিত্তিক অ্যাপ্লিকেশনের মাধ্যমে সম্পাদিত হয়, যা প্যারেন্ট-প্রসেস-ভিত্তিক ডিটেকশনকে জটিল করে তোলে।
• স্থায়িত্ব এবং কমান্ড সম্পাদন সম্পূর্ণরূপে অ্যাপ্লিকেশনের অভ্যন্তরীণ বৈধ প্লাগইন পদ্ধতির উপর নির্ভর করে।

উইন্ডোজ সংক্রমণ শৃঙ্খল: লোডার থেকে মেমরি-স্থিত ব্যাকডোর পর্যন্ত

উইন্ডোজ সিস্টেমে, এই আক্রমণটি একটি পাওয়ারশেল-ভিত্তিক এক্সিকিউশন চেইন শুরু করে যা ফ্যান্টমপালস (PHANTOMPULL) নামের একটি ইন্টারমিডিয়েট লোডার স্থাপন করে। এই লোডারটি ফ্যান্টমপালস-কে সরাসরি মেমরিতে ডিক্রিপ্ট করে এবং চালু করে, যার ফলে ডিস্ক-ভিত্তিক শনাক্তকরণ এড়ানো যায়।

ফ্যান্টমপালস ইথেরিয়াম নেটওয়ার্ককে কোয়েরি করার মাধ্যমে ব্লকচেইন-ভিত্তিক কমান্ড-অ্যান্ড-কন্ট্রোল (C2) রেজোলিউশন অন্তর্ভুক্ত করে। এটি তার C2 সার্ভারকে গতিশীলভাবে নির্ধারণ করার জন্য একটি হার্ড-কোডেড ওয়ালেট অ্যাড্রেসের সাথে সংযুক্ত সর্বশেষ লেনদেনটি পুনরুদ্ধার করে। যোগাযোগ উইনএইচটিটিপি (WinHTTP)-এর মাধ্যমে পরিচালিত হয়, যা ডেটা এক্সফিলট্রেশন, কমান্ড পুনরুদ্ধার এবং এক্সিকিউশন রিপোর্টিং সক্ষম করে।

ম্যালওয়্যারটি বিস্তৃত পরিসরের রিমোট কন্ট্রোল ক্ষমতা সমর্থন করে:

• ইনজেক্ট: প্রসেসের মধ্যে শেলকোড, ডিএলএল, বা এক্সিকিউটেবল ফাইল প্রবেশ করায়।
• ড্রপ: ডিস্কে ফাইল লেখে এবং কার্যকর করে।
• স্ক্রিনশট: স্ক্রিনের ডেটা ধারণ করে এবং আপলোড করে।
• keylog: কীস্ট্রোক লগিং চালু বা বন্ধ করে।
• আনইনস্টল: স্থায়িত্বের প্রক্রিয়াগুলো অপসারণ করে এবং আর্টিফ্যাক্টগুলো পরিষ্কার করে।
• elevate: COM elevation ব্যবহার করে SYSTEM স্তরে বিশেষাধিকার বৃদ্ধি করে।
• ডাউনগ্রেড: বিশেষাধিকার SYSTEM থেকে অ্যাডমিনিস্ট্রেটর স্তরে হ্রাস করে।

ম্যাকওএস সংস্করণ: তথ্য গোপন এবং নমনীয় C2 পরিকাঠামো

ম্যাকওএস-এ, এই আক্রমণটি একই প্লাগইন পদ্ধতির মাধ্যমে সরবরাহ করা একটি দুর্বোধ্য অ্যাপলস্ক্রিপ্টকে কাজে লাগায়। স্ক্রিপ্টটি পূর্বনির্ধারিত ডোমেইনের একটি তালিকার মধ্যে পর্যায়ক্রমে কাজ করে এবং C2 শনাক্তকরণের জন্য একটি ফলব্যাক ডেড-ড্রপ রিজলভার হিসেবে টেলিগ্রাম ব্যবহার করে। এই নকশাটি পরিকাঠামোর দ্রুত আবর্তন সক্ষম করে, যা প্রচলিত ডোমেইন-ব্লকিং কৌশলগুলোকে অকার্যকর করে তোলে।

চূড়ান্ত পর্যায়ে osascript-এর মাধ্যমে একটি দ্বিতীয় পেলোড পুনরুদ্ধার এবং কার্যকর করা হয়। তবে, বিশ্লেষণের সময় C2 সার্ভারগুলো নিষ্ক্রিয় থাকায় এই পেলোডটির সম্পূর্ণ কার্যকারিতা অনির্ধারিত থেকে যায়।

আক্রমণের ফলাফল এবং কৌশলগত প্রভাব

পর্যবেক্ষিত অনুপ্রবেশটি শেষ পর্যন্ত ব্যর্থ হয়েছিল, কারণ উদ্দেশ্য সাধিত হওয়ার আগেই প্রতিরক্ষামূলক ব্যবস্থা আক্রমণটি শনাক্ত করে প্রতিহত করেছিল। তা সত্ত্বেও, REF6598 হুমকি সৃষ্টিকারীদের কার্যপদ্ধতিতে একটি উল্লেখযোগ্য বিবর্তনকে তুলে ধরে।

বিশ্বস্ত অ্যাপ্লিকেশনগুলোর অপব্যবহার করে এবং ব্যবহারকারীর চালিত কনফিগারেশন পরিবর্তনের উপর নির্ভর করে, আক্রমণকারীরা কার্যকরভাবে প্রচলিত নিরাপত্তা নিয়ন্ত্রণগুলোকে পাশ কাটিয়ে যায়। এই পদ্ধতিটি একটি ক্রমবর্ধমান প্রবণতাকে তুলে ধরে: বৈধ সফটওয়্যার বৈশিষ্ট্যগুলোকে গোপন এক্সিকিউশন চ্যানেল হিসেবে অস্ত্রায়ন করা, যা সাইবার নিরাপত্তা প্রতিরক্ষায় বর্ধিত ব্যবহারকারী সচেতনতা এবং আচরণগত পর্যবেক্ষণের প্রয়োজনীয়তার উপর জোর দেয়।