ROAMINGMOUSE Malware

মিররফেস নামে পরিচিত একটি জাতি-রাষ্ট্র হুমকি অভিনেতা সম্প্রতি জাপান এবং তাইওয়ানের সরকারি সংস্থা এবং পাবলিক প্রতিষ্ঠানগুলিকে লক্ষ্য করে সাইবার গুপ্তচরবৃত্তি প্রচারণার সাথে যুক্ত হয়েছেন। চীনের সাথে সংযুক্ত এবং আর্থ কাশা নামেও পরিচিত এই অভিনেতা APT10 এর মধ্যে একটি উপ-ক্লাস্টার হিসাবে কাজ করে। ২০২৫ সালের মার্চ পর্যন্ত, নিরাপত্তা গবেষকরা গুপ্তচরবৃত্তির জন্য উন্নত ম্যালওয়্যার সরঞ্জামগুলির ব্যবহার সহ গোষ্ঠীর কার্যকলাপ সম্পর্কে নতুন বিবরণ প্রকাশ করেছেন।

অপারেশন আকাইরিউ: একটি পূর্ববর্তী আক্রমণের রহস্য উদঘাটিত

জাপান এবং তাইওয়ানে চলমান অভিযানের পাশাপাশি, আর্থ কাশা অপারেশন আকাইরিউ-এর পিছনেও ছিল, যা ২০২৪ সালের আগস্টে ইউরোপীয় ইউনিয়নের একটি কূটনৈতিক সংস্থার উপর সাইবার আক্রমণের লক্ষ্যবস্তু ছিল। এই অভিযানে ANEL ব্যাকডোর মোতায়েন করা হয়েছিল, যা UPPERCUT নামেও পরিচিত, যা সংবেদনশীল লক্ষ্যবস্তুতে অননুমোদিত অ্যাক্সেস অর্জনের জন্য অভিনেতার অত্যাধুনিক কৌশল তুলে ধরে।

আক্রমণ কৌশল: ম্যালওয়্যারের একটি প্রতারণামূলক শৃঙ্খল

মিররফেস অপারেশনটি স্পিয়ার-ফিশিং ইমেল দিয়ে শুরু হয়, কিছু কিছু বৈধ অ্যাকাউন্ট থেকে পাঠানো হয়। এই ইমেলগুলিতে একটি দূষিত মাইক্রোসফ্ট ওয়ানড্রাইভ URL থাকে যা একবার ক্লিক করলে একটি জিপ ফাইল ডাউনলোড হয়। জিপ আর্কাইভের ভিতরে, একটি এক্সেল ডকুমেন্ট এবং ROAMINGMOUSE কোডনামযুক্ত একটি ম্যাক্রো-সক্ষম ড্রপার ম্যালওয়্যারের জন্য ডেলিভারি বাহন হিসেবে কাজ করে। মিররফেস গত বছর থেকে ব্যবহার করে আসছে, ROAMINGMOUSE, একটি অতিরিক্ত জিপ ফাইল ডিকোড করে ফেলে, যাতে বেশ কয়েকটি ক্ষতিকারক উপাদান থাকে।

ম্যালওয়্যার ড্রপের মূল উপাদান:

• JSLNTOOL.exe, JSTIEE.exe, অথবা JSVWMNG.exe: বৈধ বাইনারি
• JSFC.dll (ANELLDR): একটি ক্ষতিকারক DLL
• এনক্রিপ্টেড ANEL পেলোড: প্রধান ব্যাকডোর
• MSVCR100.dll: একটি বৈধ DLL নির্ভরতা

একবার বাদ পড়লে, ম্যালওয়্যারটি explorer.exe ব্যবহার করে একটি বৈধ এক্সিকিউটেবল চালু করে, প্রতারণামূলক DLL, ANELLDR এর মাধ্যমে ANEL ব্যাকডোরকে সাইডলোড করে।

ANEL-এর উন্নত বৈশিষ্ট্য: সাইবার গুপ্তচরবৃত্তির এক নতুন যুগ

২০২৫ সালের প্রচারণায় ব্যবহৃত ANEL ব্যাকডোরে একটি উল্লেখযোগ্য আপগ্রেড অন্তর্ভুক্ত রয়েছে: একটি নতুন কমান্ড যা বীকন অবজেক্ট ফাইল (BOF) এর ইন-মেমরি এক্সিকিউশন সমর্থন করে। BOF হল ছোট C প্রোগ্রাম যা কোবাল্ট স্ট্রাইক এজেন্টের ক্ষমতা বাড়ানোর জন্য ডিজাইন করা হয়েছে, যা শোষণ-পরবর্তী বৈশিষ্ট্যগুলিকে উন্নত করে। একবার ইনস্টল করার পরে, ব্যাকডোর আর্থ কাশাকে স্ক্রিনশট নিতে, শিকারের পরিবেশ পরীক্ষা করতে এবং আরও শোষণের জন্য প্রক্রিয়া তালিকা এবং ডোমেন তথ্য সংগ্রহ করতে সক্ষম করে।

শার্পহাইড এবং নোপডোর ব্যবহার

কিছু ক্ষেত্রে, আর্থ কাশার পিছনে হুমকিদাতারা শার্পহাইড, একটি ওপেন-সোর্স টুল ব্যবহার করে NOOPDOOR ব্যাকডোর (যা হিডেনফেস নামেও পরিচিত) এর একটি নতুন সংস্করণ চালু করেছে। এই ব্যাকডোরটি DNS-over-HTTPS (DoH) সমর্থন করে সনাক্তকরণ এড়াতে ডিজাইন করা হয়েছে, যা কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য ব্যবহৃত IP ঠিকানা লুকআপ গোপন করতে সহায়তা করে।

চলমান হুমকি এবং সতর্কতা প্রয়োজন

আর্থ কাশা এখনও একটি সক্রিয় এবং অবিরাম হুমকি হিসেবে রয়ে গেছে যা উচ্চ-মূল্যের সম্পদ, যার মধ্যে রয়েছে সংবেদনশীল সরকারি তথ্য, বৌদ্ধিক সম্পত্তি এবং অ্যাক্সেস শংসাপত্র। এন্টারপ্রাইজ এবং সংস্থাগুলি, বিশেষ করে যারা শাসন এবং অবকাঠামোর সাথে সম্পর্কিত, তাদের এই ধরনের উন্নত, অবিরাম আক্রমণ থেকে রক্ষা করার জন্য শক্তিশালী সাইবার নিরাপত্তা ব্যবস্থা বাস্তবায়ন অব্যাহত রাখতে হবে।