PowerModul Implant

পেপার ওয়্যারউলফ নামে পরিচিত হুমকিদাতা - যাকে GOFFEE নামেও ডাকা হয় - পাওয়ারমডুল নামে একটি নতুন ইমপ্লান্ট ব্যবহার করে একচেটিয়াভাবে রাশিয়ান সংস্থাগুলিকে লক্ষ্য করে আসছে। ২০২৪ সালের জুলাই থেকে ডিসেম্বরের মধ্যে, তাদের আক্রমণগুলি গণমাধ্যম, টেলিযোগাযোগ, নির্মাণ, সরকারি সংস্থা এবং জ্বালানি খাত সহ গুরুত্বপূর্ণ শিল্পগুলিতে কেন্দ্রীভূত হয়েছিল।

একটি অবিচল প্রতিপক্ষ: ২০২২ সাল থেকে প্রচারণা

পেপার ওয়্যারউলফ ২০২২ সাল থেকে কমপক্ষে সাতটি প্রচারণা চালিয়েছে। এই গোষ্ঠীর ধারাবাহিক মনোযোগ সরকার, জ্বালানি, আর্থিক এবং মিডিয়া সেক্টরের মধ্যে উচ্চ-মূল্যবান লক্ষ্যবস্তুগুলির উপর।

গুপ্তচরবৃত্তির চেয়েও বেশি: আক্রমণ শৃঙ্খলে ধ্বংসাত্মক মোড়

পেপার ওয়্যারউলফের কার্যক্রম ঐতিহ্যবাহী সাইবার গুপ্তচরবৃত্তির বাইরেও বিস্তৃত। তাদের আক্রমণ শৃঙ্খলে বিঘ্নকারী উপাদানগুলি অন্তর্ভুক্ত থাকতে দেখা গেছে, যেমন কর্মচারী অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করা, যা কেবল তথ্য চুরি করার পরিবর্তে কার্যক্রমকে বিকল করার অভিপ্রায় নির্দেশ করে।

প্রবেশ বিন্দু: ফিশিং লুর এবং পাওয়ারর্যাট

আক্রমণগুলি সাধারণত ম্যাক্রো-লেসড ডকুমেন্ট ধারণকারী ফিশিং ইমেল দিয়ে শুরু হয়। একবার ভুক্তভোগী ফাইলটি অ্যাক্সেস করে এবং ম্যাক্রো সক্ষম করে, তখন PowerRAT নামে পরিচিত PowerShell-ভিত্তিক রিমোট অ্যাক্সেস ট্রোজান মোতায়েন করা হয়। এই ম্যালওয়্যারটি আরও উন্নত পেলোডের জন্য মঞ্চ তৈরি করে।

কাস্টম ম্যালওয়্যার আর্সেনাল: পাওয়ারটাস্কেল, কোয়াকমাইএজেন্ট এবং ওওওওয়া

পরবর্তী পর্যায়ের পেলোডগুলির মধ্যে প্রায়শই PowerTaskel এবং QwakMyAgent অন্তর্ভুক্ত থাকে, যা Mythic ফ্রেমওয়ার্কের উপর ভিত্তি করে এজেন্টগুলির কাস্টম সংস্করণ। আরেকটি টুল, Owowa, একটি ক্ষতিকারক IIS মডিউল, ওয়েব ক্লায়েন্টদের মাধ্যমে প্রবেশ করা Microsoft Outlook শংসাপত্র চুরি করতে ব্যবহৃত হয়।

নতুন সংক্রমণ কৌশল: RAR আর্কাইভে ছদ্মবেশী এক্সিকিউটেবল

সাম্প্রতিক আক্রমণের মধ্যে একটি দূষিত RAR আর্কাইভ রয়েছে যেখানে একটি এক্সিকিউটেবল ফাইল রয়েছে যা PDF বা Word ডকুমেন্টের ছদ্মবেশে ডাবল এক্সটেনশন ব্যবহার করে (যেমন, *.pdf.exe)। এক্সিকিউশনের সময়, সিস্টেমটি নীরবে ব্যাকগ্রাউন্ডে সংক্রামিত থাকা অবস্থায় ব্যবহারকারীকে একটি ডিকয় ডকুমেন্ট দেখানো হয়।

এক্সিকিউটেবলটি আসলে একটি প্যাচ করা উইন্ডোজ সিস্টেম ফাইল (যেমন explorer.exe), যা ক্ষতিকারক শেলকোড দিয়ে এমবেড করা থাকে যার মধ্যে একটি অস্পষ্ট মিথিক এজেন্ট থাকে, যা আরও নির্দেশাবলীর জন্য C2 সার্ভারের সাথে সংযোগ করে।

বিকল্প আক্রমণ রুট: পাওয়ারমডুল কেন্দ্রবিন্দুতে স্থান করে নিয়েছে

বিকল্প পদ্ধতিতে, পেপার ওয়্যারউলফ একটি ম্যাক্রো-লেসড অফিস ডকুমেন্ট সহ একটি RAR আর্কাইভ ব্যবহার করে যা PowerModul এর জন্য ড্রপার হিসেবে কাজ করে। এই PowerShell স্ক্রিপ্টটি C2 সার্ভার থেকে অতিরিক্ত স্ক্রিপ্টগুলি কার্যকর করতে পারে, যা এটিকে একটি বহুমুখী ব্যাকডোর করে তোলে।

পেলোড প্যারেড: গুপ্তচরবৃত্তি এবং সংক্রমণের জন্য একটি টুলকিট

পাওয়ারমডুল ২০২৪ সালের গোড়ার দিক থেকে ব্যবহৃত হচ্ছে, মূলত পাওয়ারটাস্কেল ডাউনলোড এবং চালানোর জন্য। অন্যান্য উল্লেখযোগ্য পেলোডগুলির মধ্যে রয়েছে:

• FlashFileGrabber : ফ্ল্যাশ ড্রাইভ থেকে ফাইল চুরি করে এবং সেগুলোকে এক্সফিল্ট্রেট করে।
• FlashFileGrabberOffline : ফ্ল্যাশ মিডিয়াতে নির্দিষ্ট এক্সটেনশন সহ ফাইলগুলি অনুসন্ধান করে এবং পরবর্তীতে এক্সফিল্ট্রেশনের জন্য স্থানীয়ভাবে সংরক্ষণ করে।
• USB ওয়ার্ম : ম্যালওয়্যার আরও ছড়িয়ে দেওয়ার জন্য PowerModul এর একটি কপি দিয়ে ফ্ল্যাশ ড্রাইভগুলিকে সংক্রামিত করে।

পাওয়ারটাস্কেলের ক্ষমতা: কেবল স্ক্রিপ্ট সম্পাদনের চেয়েও বেশি কিছু

PowerModul-এর মতো হলেও, PowerTaskel আরও সক্ষম। এটি সিস্টেম তথ্য সহ একটি 'চেকইন' বার্তা পাঠায়, C2 সার্ভার থেকে কমান্ড চালায় এবং PsExec ব্যবহার করে সুবিধাগুলি বাড়িয়ে তুলতে পারে। একটি ক্ষেত্রে, এটি একটি FolderFileGrabber স্ক্রিপ্ট কার্যকর করতে দেখা গেছে যা হার্ডকোডেড SMB নেটওয়ার্ক পাথ ব্যবহার করে দূরবর্তী সিস্টেম থেকে ফাইল সংগ্রহ করে।

কৌশলের বিবর্তন: পাওয়ারটাস্কেল থেকে দূরে সরে যাওয়া

প্রথমবারের মতো, পেপার ওয়্যারউলফ প্রাথমিক অ্যাক্সেসের জন্য VBA স্ক্রিপ্ট সহ জাল ওয়ার্ড ডকুমেন্ট ব্যবহার করেছে। সাম্প্রতিক অনুসন্ধানগুলিও একটি কৌশলগত পরিবর্তনের ইঙ্গিত দেয়, গ্রুপটি পাওয়ারটাস্কেল থেকে দূরে সরে যাচ্ছে এবং লক্ষ্যযুক্ত নেটওয়ার্কগুলির মধ্যে পার্শ্বীয় চলাচলের জন্য বাইনারি মিথিক এজেন্টগুলির উপর ক্রমবর্ধমানভাবে নির্ভর করছে।

চূড়ান্ত ভাবনা: বিকশিত কৌশলগুলির সাথে ক্রমবর্ধমান হুমকি

পেপার ওয়্যারউলফ তার কৌশলগুলি আরও উন্নত করে চলেছে এবং তার অস্ত্রাগার প্রসারিত করছে। রাশিয়ান সত্তার উপর একচেটিয়া মনোযোগ, বিঘ্নকারী ক্ষমতা এবং একটি ক্রমবর্ধমান সংক্রমণ কৌশলের সাথে মিলিত হয়ে, এটিকে দিগন্তে একটি গুরুতর এবং স্থায়ী সাইবার হুমকিতে পরিণত করেছে।