পাওয়ার ম্যাজিক
সাম্প্রতিক গবেষণায় একটি নতুন সাইবার গুপ্তচরবৃত্তির প্রচারণা উন্মোচিত হয়েছে যার লক্ষ্য ইউক্রেনের অঞ্চলে কাজ করা সরকারী সংস্থা এবং অন্যান্য সংস্থার লক্ষ্য যা বর্তমানে রাশিয়ার দখলে রয়েছে। এই প্রচারাভিযানে দুটি স্বতন্ত্র এবং পূর্বে অজানা ম্যালওয়্যার স্ট্রেন ব্যবহার করা হয়েছে, যেগুলোকে পাওয়ারম্যাজিক এবং কমনম্যাজিক বলা হয়েছে।
আক্রমণকারীরা ডোনেটস্ক, লুগানস্ক এবং ক্রিমিয়া অঞ্চলে অবস্থিত সত্ত্বাগুলির লক্ষ্যযুক্ত ডিভাইসগুলি থেকে ডেটা চুরি করার জন্য এই ধরণের ম্যালওয়্যার ব্যবহার করে৷ এই গুপ্তচরবৃত্তি অভিযানের লক্ষ্যে সরকারি সংস্থাগুলি, সেইসাথে কৃষি ও পরিবহন সংস্থাগুলি অন্তর্ভুক্ত৷
এটি অত্যন্ত সম্ভাব্য বলে মনে হচ্ছে যে এই সাম্প্রতিক সাইবার গুপ্তচরবৃত্তি এই অঞ্চলে চলমান সংঘাতের পরিপ্রেক্ষিতে ইউক্রেন এবং রাশিয়ার মধ্যে বৃহত্তর সাইবার সংঘাতের অংশ।
আক্রমণকারীরা ফিশিং ইমেল এবং ডিকয় ডকুমেন্ট ব্যবহার করে
এই ঘটনার পিছনে আক্রমণকারীরা ফিশিং ইমেল নিয়োগের মাধ্যমে ম্যালওয়্যার ছড়িয়ে দিয়েছে, যেটিতে একটি .zip আর্কাইভের একটি হাইপারলিঙ্ক রয়েছে যা একটি সার্ভারে হোস্ট করা হয়েছিল যার দূষিত অভিপ্রায় ছিল৷
.zip আর্কাইভটি দুটি ফাইলের সমন্বয়ে গঠিত ছিল: একটি নথি যা একটি অফিসিয়াল ডিক্রি হিসাবে উপস্থিত হওয়ার জন্য ছদ্মবেশে ছিল - উদাহরণ সহ ক্রিমিয়ার সংসদীয় নির্বাচন বা ডোনেস্কে বাজেট পরিকল্পনা সম্পর্কিত বিজ্ঞপ্তিগুলি সহ - সেইসাথে একটি দূষিত .lnk ফাইল। খোলার পরে, এই .lnk ফাইলটি ম্যালওয়্যার শুরু করবে এবং লক্ষ্যযুক্ত ডিভাইসটিকে সংক্রমিত করবে।
আক্রমণের প্রাথমিক পর্যায়ে, হ্যাকাররা সিস্টেমে অনুপ্রবেশ করতে PowerShell-ভিত্তিক ব্যাকডোর নামক PowerMagic ব্যবহার করেছিল।
পাওয়ারম্যাজিক একাধিক হুমকির ক্ষমতা দিয়ে সজ্জিত
পাওয়ারম্যাজিক ব্যাকডোরটির আরও পরীক্ষা করার পরে, এটি আবিষ্কৃত হয়েছে যে ব্যাকডোরের প্রাথমিক বিভাগটি %APPDATA%\WinEventCom\config এ অবস্থিত ফাইল থেকে পড়া হয়েছে। এই ফাইলটি তারপর একটি সাধারণ XOR অ্যালগরিদম ব্যবহারের মাধ্যমে ডিক্রিপ্ট করা হয়।
ডিক্রিপশনের পরে, ব্যাকডোর একটি অসীম লুপে প্রবেশ করে যা তার মনোনীত কমান্ড এবং কন্ট্রোল (C&C) সার্ভারের সাথে ক্রমাগত যোগাযোগ করে। ব্যাকডোর তারপর সার্ভার থেকে কমান্ড গ্রহণ করে এবং আপলোড করা ফলাফলের সাথে সাড়া দেয়।
যখন পাওয়ারম্যাজিক সফলভাবে C&C সার্ভারের সাথে একটি সংযোগ স্থাপন করে, তখন এটি নির্বিচারে আদেশ কার্যকর করার ক্ষমতা রাখে। এই এক্সিকিউটেড কমান্ডের ফলাফল ক্লাউড পরিষেবা যেমন ড্রপবক্স এবং মাইক্রোসফ্ট ওয়ানড্রাইভ-এ এক্সফিল্ট করা হয়।
যাইহোক, পাওয়ারম্যাজিকের অন্যতম প্রধান কাজ হল পরবর্তী পর্যায়ের কমনম্যাজিক ফ্রেমওয়ার্ক সংক্রমিত ডিভাইসগুলিতে পৌঁছে দেওয়া। CommonMagic একটি আরও জটিল দূষিত টুল যা নির্দিষ্ট কাজ সম্পাদন করতে সক্ষম।
