পিকাসোলোডার জাভাস্ক্রিপ্ট ভ্যারিয়েন্ট
ঘোস্টরাইটার নামে পরিচিত হুমকি সৃষ্টিকারী গোষ্ঠীটি ইউক্রেনের সরকারি সংস্থাগুলোকে লক্ষ্য করে চালানো নতুন এক সাইবার হামলার সঙ্গে জড়িত বলে জানা গেছে। অন্তত ২০১৬ সাল থেকে সক্রিয় এই গোষ্ঠীটি পূর্ব ইউরোপ জুড়ে সাইবার গুপ্তচরবৃত্তি এবং প্রভাব বিস্তারের প্রচারণা চালানোর জন্য কুখ্যাতি অর্জন করেছে, যার কার্যক্রমের মূল কেন্দ্রবিন্দু হলো ইউক্রেন এবং এর প্রতিবেশী রাষ্ট্রগুলো।
এই হুমকি সৃষ্টিকারী গোষ্ঠীটি FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151, এবং White Lynx-সহ আরও কয়েকটি ছদ্মনামেও পরিচিত। বছরের পর বছর ধরে, এই গোষ্ঠীটি নিরাপত্তা নিয়ন্ত্রণ এড়িয়ে যেতে এবং দীর্ঘমেয়াদী কার্যকারিতা বজায় রাখার প্রচেষ্টায় ক্রমাগত তাদের পরিকাঠামো, আক্রমণের ধারা এবং এড়ানোর পদ্ধতিগুলোকে উন্নত করেছে।
সুচিপত্র
ক্রমাগত বিকশিত ম্যালওয়্যার অস্ত্রাগার
ঘোস্টরাইটার ধারাবাহিকভাবে তার ম্যালওয়্যার ইকোসিস্টেম এবং ডেলিভারি কৌশল আধুনিকীকরণ করেছে। পূর্ববর্তী ক্যাম্পেইনগুলো পিকাসোলোডার ম্যালওয়্যার পরিবারের উপর ব্যাপকভাবে নির্ভরশীল ছিল, যা কোবাল্ট স্ট্রাইক বিকন এবং এনজেআরএটি-এর মতো অতিরিক্ত পেলোড সরবরাহের একটি মাধ্যম হিসেবে কাজ করত।
২০২৩ সালের শেষের দিকে, দলটি WinRAR-এর দুর্বলতা CVE-2023-38831-কে কাজে লাগিয়ে PicassoLoader এবং Cobalt Strike বিতরণের মাধ্যমে তাদের সক্ষমতা বৃদ্ধি করে। পরের বছর, পোলিশ সংস্থাগুলো একটি ফিশিং অভিযানের লক্ষ্যবস্তুতে পরিণত হয়, যেখানে Roundcube-এর CVE-2024-42009 হিসেবে চিহ্নিত একটি ক্রস-সাইট স্ক্রিপ্টিং ত্রুটিকে অপব্যবহার করা হয়েছিল। এই ক্ষতিকর কার্যকলাপের ফলে আক্রমণকারীরা এমন জাভাস্ক্রিপ্ট চালাতে সক্ষম হয়েছিল যা ভুক্তভোগীদের কাছ থেকে ইমেইল ক্রেডেনশিয়াল সংগ্রহ করতে পারতো।
হ্যাক হওয়া অ্যাকাউন্টগুলো পরবর্তীতে ২০২৫ সালের জুন মাসে মেইলবক্সের বিষয়বস্তু পরীক্ষা করতে, যোগাযোগের তালিকা চুরি করতে এবং অতিরিক্ত ফিশিং বার্তা ছড়াতে ব্যবহার করা হয়েছিল। ২০২৫ সালের শেষ নাগাদ, দলটি তাদের কার্যক্রমে উন্নত বিশ্লেষণ-বিরোধী কৌশলও অন্তর্ভুক্ত করে। কিছু প্রলোভনমূলক ডকুমেন্টে ডাইনামিক ক্যাপচা ভেরিফিকেশন ব্যবহার করা শুরু হয়, যা বেছে বেছে ক্ষতিকারক সংক্রমণের ধারাকে সক্রিয় করত এবং স্বয়ংক্রিয় বিশ্লেষণ ব্যবস্থাকে অকার্যকর করে দিত।
ইউক্রেনকে লক্ষ্য করে অত্যাধুনিক স্পিয়ার-ফিশিং অভিযান চালানো হচ্ছে।
২০২৬ সালের মার্চ মাস থেকে গবেষকরা ইউক্রেনের সরকারি প্রতিষ্ঠানগুলোকে লক্ষ্য করে একটি নতুন অভিযান লক্ষ্য করেছেন, যেখানে ক্ষতিকারক পিডিএফ সংযুক্তি সহ স্পিয়ার-ফিশিং ইমেল ব্যবহার করা হচ্ছে। এই প্রতারণামূলক নথিগুলো নিজেদের বৈধ প্রমাণ করতে এবং ভুক্তভোগীদের সম্পৃক্ততা বাড়ানোর প্রচেষ্টায় ইউক্রেনের টেলিযোগাযোগ পরিষেবা প্রদানকারী প্রতিষ্ঠান ইউক্রটেলিকম-এর ছদ্মবেশ ধারণ করে।
এই আক্রমণ পদ্ধতিটি পিডিএফ ফাইলের মধ্যে থাকা এমবেডেড লিঙ্কের উপর নির্ভর করে, যা ভুক্তভোগীদের একটি ক্ষতিকারক RAR আর্কাইভে পাঠিয়ে দেয়। এই আর্কাইভে একটি জাভাস্ক্রিপ্ট-ভিত্তিক পেলোড থাকে। একবার এক্সিকিউট হলে, ম্যালওয়্যারটি বৈধতার বিভ্রম বজায় রাখার জন্য একটি ডিকয় ডকুমেন্ট প্রদর্শন করে এবং একই সাথে নীরবে ব্যাকগ্রাউন্ডে PicassoLoader-এর একটি জাভাস্ক্রিপ্ট সংস্করণ চালু করে। এরপর এই লোডারটি আক্রান্ত সিস্টেমগুলোতে Cobalt Strike Beacon স্থাপন করে।
জিওফেন্সিং এবং ভিকটিম ভ্যালিডেশন স্টিলথকে উন্নত করে
সর্বশেষ প্রচারণার অন্যতম উল্লেখযোগ্য দিক হলো জিওফেন্সিং এবং স্তরযুক্ত ভুক্তভোগী যাচাইকরণ ব্যবস্থার বাস্তবায়ন। ইউক্রেনের বাইরের আইপি ঠিকানা থেকে সংযোগকারী সিস্টেমগুলো ক্ষতিকারক পেলোডের পরিবর্তে নিরীহ পিডিএফ কন্টেন্ট গ্রহণ করে, যা গবেষক এবং স্বয়ংক্রিয় স্ক্যানিং সিস্টেমগুলোর কাছে এর ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করে।
ম্যালওয়্যারটি অতিরিক্ত পেলোড পাঠানোর আগে আক্রান্ত হোস্টগুলোর ব্যাপক ফিঙ্গারপ্রিন্টিংও করে থাকে। সংগৃহীত সিস্টেমের তথ্য প্রতি দশ মিনিট অন্তর আক্রমণকারী-নিয়ন্ত্রিত পরিকাঠামোতে পাঠানো হয়, যা অপারেটরদের ম্যানুয়ালি নির্ধারণ করতে সক্ষম করে যে কোনো ভুক্তভোগীকে আরও এক্সপ্লয়টেশনের আওতায় আনা প্রয়োজন কিনা। এই যাচাইকরণ প্রক্রিয়াটি সম্পন্ন হওয়ার পরেই পরিকাঠামোটি তৃতীয় পর্যায়ের একটি জাভাস্ক্রিপ্ট ড্রপার পাঠায়, যা কোবাল্ট স্ট্রাইক বিকন ইনস্টল করার জন্য দায়ী।
এই অপারেশনে ইউজার-এজেন্ট এবং আইপি-ভিত্তিক যাচাইকরণসহ স্বয়ংক্রিয় ফিল্টারিং পদ্ধতির সাথে অপারেটরের ম্যানুয়াল পর্যালোচনার সমন্বয় ঘটানো হয়েছে, যা একটি অত্যন্ত সুশৃঙ্খল এবং পরিপক্ক আক্রমণ পদ্ধতিকে তুলে ধরে।
পূর্ব ইউরোপ জুড়ে আঞ্চলিক লক্ষ্য নির্ধারণ কৌশল প্রসারিত হচ্ছে
বর্তমান কার্যকলাপ মূলত ইউক্রেনের সামরিক, প্রতিরক্ষা এবং সরকারি সংস্থাগুলোকে কেন্দ্র করে পরিচালিত হচ্ছে বলে মনে হয়। তবে, পোল্যান্ড এবং লিথুয়ানিয়ায় ঘোস্টরাইটারের সাথে সম্পর্কিত অভিযানগুলো একটি বৃহত্তর লক্ষ্যবস্তু নির্ধারণের কৌশল প্রদর্শন করে যা একাধিক গুরুত্বপূর্ণ খাতে বিস্তৃত:
- শিল্প ও উৎপাদনকারী সংস্থাগুলি
- স্বাস্থ্যসেবা এবং ঔষধ প্রতিষ্ঠান
- লজিস্টিক সরবরাহকারী
- সরকারি সংস্থা
ঘোস্টরাইটারের টুলিং, ডেলিভারি মেকানিজম এবং অপারেশনাল নিরাপত্তা অনুশীলনের ক্রমাগত বিবর্তন এই গোষ্ঠীর অধ্যবসায় এবং অভিযোজন ক্ষমতাকে তুলে ধরে। কাস্টমাইজড প্রলোভনমূলক ডকুমেন্ট, নির্বাচিত পেলোড ডেলিভারি, অ্যান্টি-অ্যানালাইসিস কৌশল এবং ম্যানুয়াল ভিকটিম ভ্যালিডেশনকে একত্রিত করার ক্ষমতা একটি অত্যাধুনিক সাইবার-গুপ্তচরবৃত্তি সক্ষমতা প্রদর্শন করে, যা শনাক্তকরণ এড়ানোর পাশাপাশি অপারেশনাল প্রভাবকে সর্বোচ্চ করার জন্য ডিজাইন করা হয়েছে।
