PicassoLoader Malware

ইনফোসেক বিশেষজ্ঞরা ইউক্রেন এবং পোল্যান্ডের লক্ষ্যবস্তুর বিরুদ্ধে সাইবার আক্রমণের একটি সিরিজ চিহ্নিত করেছেন। সাইবার অপরাধীরা সরকারী সংস্থা, সামরিক সংস্থা এবং বেসামরিক ব্যবহারকারীদের সাথে আপস করার উপর দৃষ্টি নিবদ্ধ করে। এই প্রচারাভিযানের লক্ষ্য হল অবৈধভাবে সংবেদনশীল ডেটা প্রাপ্ত করা এবং আপস করা সিস্টেমগুলিতে ক্রমাগত দূরবর্তী অ্যাক্সেস স্থাপন করা।

এপ্রিল 2022 থেকে জুলাই 2023 পর্যন্ত সময় জুড়ে, এই অনুপ্রবেশ অভিযান বিভিন্ন কৌশল ব্যবহার করে। পিকাসোলোডার নামে পরিচিত একটি ডাউনলোডার ম্যালওয়্যার স্থাপনের সুবিধার্থে শিকারদের প্রতারিত করার জন্য ফিশিং প্রলোভন এবং ডিকয় ডকুমেন্ট ব্যবহার করা হয়। এই হুমকি সফ্টওয়্যারটি অন্যান্য অনিরাপদ সরঞ্জামগুলি, বিশেষত Cobalt Strike বীকন এবং njRAT চালু করার একটি গেটওয়ে হিসাবে কাজ করে।

ফিশিং প্রলোভন হল প্রতারণামূলক কৌশল যা ব্যবহারকারীর নাম, পাসওয়ার্ড বা অ্যাকাউন্টের শংসাপত্রের মতো সংবেদনশীল তথ্য প্রকাশ করার জন্য ব্যক্তিদের প্রতারণা করার জন্য ব্যবহৃত হয়। ডিকয় ডকুমেন্টগুলি হল ছদ্মবেশী ফাইলগুলিকে বৈধ দেখানোর জন্য ডিজাইন করা হয়েছে কিন্তু প্রকৃতপক্ষে অনিরাপদ পেলোড রয়েছে৷ ক্ষতিগ্রস্থদের প্রলুব্ধ করে এই ডিকয় নথিগুলির সাথে ইন্টারঅ্যাক্ট করতে, আক্রমণকারীরা তাদের সিস্টেমে পিকাসোলোডার ডাউনলোডার চালাতে পারে।

একবার পিকাসোলোডার সফলভাবে মোতায়েন করা হলে, এটি আক্রমণের পরবর্তী পর্যায়ের জন্য একটি নালী হিসাবে কাজ করে। এটি দুটি অতিরিক্ত ধরণের ম্যালওয়্যার ইনস্টলেশন এবং কার্যকর করতে সক্ষম করে: কোবাল্ট স্ট্রাইক বীকন এবং এনজেআরএটি। কোবাল্ট স্ট্রাইক বীকন হল একটি অত্যাধুনিক অনুপ্রবেশ পরীক্ষার সরঞ্জাম যা আক্রমণকারীদের অননুমোদিত অ্যাক্সেস এবং আপস করা সিস্টেমের উপর নিয়ন্ত্রণ পেতে দেয়। NjRAT-এর জন্য, এটি একটি দূরবর্তী অ্যাক্সেস ট্রোজান যা আক্রমণকারীদের সংক্রামিত সিস্টেমে অননুমোদিত দূরবর্তী অ্যাক্সেস প্রদান করে, যা তাদের সনাক্ত না করে দূষিত কার্যকলাপ চালাতে দেয়।

PicassoLoader Malware একটি মাল্টিস্টেজ ইনফেকশন চেইনের অংশ হিসাবে স্থাপন করা হয়েছে

পিকাসোলোডারের পিছনে আক্রমণকারীরা তাদের ক্ষতিকারক কার্যকলাপ চালাতে একটি মাল্টিস্টেজ সংক্রমণ চেইন ব্যবহার করেছিল। প্রাথমিক পর্যায়ে মাইক্রোসফ্ট এক্সেল এবং পাওয়ারপয়েন্ট ফাইল ফর্ম্যাটগুলি সবচেয়ে বেশি ব্যবহৃত হয়। এই নথিগুলি আক্রমণের সূচনা পয়েন্ট হিসাবে কাজ করে।

অফিস নথি অনুসরণ করে, একটি এক্সিকিউটেবল ডাউনলোডার এবং পেলোড একটি ইমেজ ফাইলের মধ্যে লুকিয়ে রাখা হয়। এই কৌশলটি সম্ভবত ডাউনলোডার সনাক্তকরণ এবং পেলোড সুরক্ষা সিস্টেমের জন্য আরও চ্যালেঞ্জিং করার জন্য নিযুক্ত করা হয়েছিল। একটি ইমেজ ফাইলের মধ্যে লুকিয়ে থাকার মাধ্যমে, আক্রমণকারীদের লক্ষ্য নিরাপত্তা ব্যবস্থা বাইপাস করা এবং সফল অনুপ্রবেশের সম্ভাবনা বাড়ানো।

এই আক্রমণগুলির মধ্যে কিছু ঘোস্ট রাইটার নামে পরিচিত একজন হুমকি অভিনেতাকে দায়ী করা হয়েছে, যাকে UAC-0057 বা UNC1151 নামেও ট্র্যাক করা হয়েছে। ঘোস্ট রাইটারের প্রেরণা এবং উদ্দেশ্যগুলি বেলারুশিয়ান সরকারের স্বার্থের সাথে সারিবদ্ধ বলে মনে করা হয়।

ইউক্রেনের বিরুদ্ধে অসংখ্য লক্ষ্যবস্তু হামলা পরিলক্ষিত হয়েছে

এটা উল্লেখ করার মতো যে এই আক্রমণগুলির একটি উপসেট ইতিমধ্যেই ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) দ্বারা গত বছর নথিভুক্ত করা হয়েছে। একটি উল্লেখযোগ্য উদাহরণ 2022 সালের জুলাই মাসে ঘটেছে, যেখানে ম্যাক্রো-বোঝাই পাওয়ারপয়েন্ট নথিগুলি Agent Tesla ম্যালওয়্যার সরবরাহ করার জন্য নিযুক্ত করা হয়েছিল। এই ঘটনাটি ম্যালওয়্যার বিতরণ এবং ক্ষতিগ্রস্থদের সিস্টেম আপস করার উপায় হিসাবে ম্যাক্রোর ব্যবহারকে হাইলাইট করেছে।

এই আক্রমণগুলিতে ব্যবহৃত সংক্রমণ চেইনগুলি অফিস নথির মধ্যে ম্যাক্রোগুলিকে সক্ষম করার জন্য ক্ষতিগ্রস্থদের বোঝানোর জন্য সামাজিক প্রকৌশল পদ্ধতির উপর নির্ভর করে। একবার ম্যাক্রো সক্ষম হয়ে গেলে, একটি VBA ম্যাক্রো ট্রিগার করা হয়, যার ফলে পিকাসোলোডার DLL ডাউনলোডার হুমকি মোতায়েন করা হয়। এই ডাউনলোডার পরবর্তী পর্যায়ের পেলোড পুনরুদ্ধার করতে আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি সাইটের সাথে একটি সংযোগ স্থাপন করে, যা একটি আপাতদৃষ্টিতে বৈধ ইমেজ ফাইলের মধ্যে এমবেড করা হয়৷ চূড়ান্ত ম্যালওয়্যার এই ইমেজ ফাইলের মধ্যে লুকানো হয়.

CERT-UA-এর এই সাম্প্রতিক প্রকাশগুলি স্মোকলোডার ম্যালওয়্যার বিতরণকারী বেশ কয়েকটি ফিশিং ক্রিয়াকলাপের বিষয়ে তাদের প্রতিবেদনের সাথে মিলে যায়। উপরন্তু, তাদের অ্যাকাউন্টের উপর অননুমোদিত নিয়ন্ত্রণ লাভের লক্ষ্যে টেলিগ্রাম ব্যবহারকারীদের লক্ষ্য করে একটি হাস্যকর আক্রমণ চিহ্নিত করা হয়েছে।

ঘোস্ট রাইটার ইউক্রেনকে লক্ষ্য করে সাইবার ক্রাইম গ্রুপগুলির মধ্যে একটি

ইউক্রেন কুখ্যাত রাশিয়ান জাতি-রাষ্ট্র গ্রুপ APT28 সহ একাধিক হুমকি অভিনেতাদের লক্ষ্যে পরিণত হয়েছে। APT28 এইচটিএমএল সংযুক্তি সহ ফিশিং ইমেল পাঠানোর একটি কৌশল ব্যবহার করে, প্রাপকদের তাদের UKR.NET এবং Yahoo! হিসাব ইমেলগুলি ব্যবহারকারীদের তাদের পাসওয়ার্ড পরিবর্তন করতে অনুরোধ করে কিন্তু পরিবর্তে, তাদের লগইন শংসাপত্র সংগ্রহ করার জন্য ডিজাইন করা জাল ল্যান্ডিং পৃষ্ঠাগুলিতে নিয়ে যায়৷

এই সাম্প্রতিক উন্নয়নটি রাশিয়ান সামরিক গোয়েন্দা (GRU)-এর সাথে যুক্ত হ্যাকারদের কার্যকলাপে পরিলক্ষিত একটি বিস্তৃত প্যাটার্নের অংশ। তারা ইউক্রেনের বিরুদ্ধে তাদের বিঘ্নিত অভিযানে একটি 'স্ট্যান্ডার্ড ফাইভ-ফেজ প্লেবুক' গ্রহণ করেছে, তাদের আক্রমণের গতি, স্কেল এবং তীব্রতা বাড়ানোর জন্য একটি ইচ্ছাকৃত প্রচেষ্টা প্রদর্শন করেছে।