RokRAT ম্যালওয়্যার
উত্তর কোরিয়ার হুমকি সৃষ্টিকারী গোষ্ঠী APT37 (যা ScarCruft নামেও পরিচিত) ফেসবুকের মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করে একটি অত্যাধুনিক, বহু-পর্যায়ের সাইবার অভিযানের সাথে জড়িত। আক্রমণকারীরা ফ্রেন্ড রিকোয়েস্ট পাঠিয়ে যোগাযোগ শুরু করে এবং ধীরে ধীরে বিশ্বাস স্থাপন করার পর সেই আলাপচারিতাকে ম্যালওয়্যার ছড়ানোর একটি মাধ্যমে রূপান্তরিত করে। এই পরিকল্পিত কারসাজি শেষ পর্যন্ত রিমোট অ্যাক্সেস ট্রোজান RokRAT-এর বিস্তারকে সম্ভব করে তোলে।
সুচিপত্র
পছন্দের অস্ত্র: রোকর্যাটের বিবর্তন
RokRAT এই গোষ্ঠীটির ব্যবহৃত প্রধান ম্যালওয়্যার হিসেবেই রয়ে গেছে এবং সময়ের সাথে সাথে macOS ও Android-এর মতো প্ল্যাটফর্মের জন্য অভিযোজিত হয়ে এটি উল্লেখযোগ্যভাবে বিকশিত হয়েছে। এর ক্রমাগত উন্নয়ন ধারাবাহিক পরিচালন বিনিয়োগেরই প্রতিফলন।
এই ম্যালওয়্যারটি বিভিন্ন ধরনের ক্ষতিকর কার্যকলাপ চালাতে সক্ষম, যার মধ্যে রয়েছে:
- পরিচয়পত্র সংগ্রহ এবং সংবেদনশীল তথ্য পাচার
- স্ক্রিনশট ক্যাপচার এবং সিস্টেম রিকনেসান্স
- কমান্ড এবং শেলকোডের নির্বাহ
- ফাইল এবং ডিরেক্টরি ম্যানিপুলেশন
এর কার্যক্রম গোপন করার জন্য, পূর্ববর্তী সংস্করণগুলো চুরি করা ডেটা MP3 ফাইল ফরম্যাটে সংরক্ষণ করত। এছাড়াও, RokRAT ড্রপবক্স, মাইক্রোসফট ওয়ানড্রাইভ, পিক্লাউড এবং ইয়ানডেক্স ক্লাউডের মতো বৈধ ক্লাউড প্ল্যাটফর্মের মাধ্যমে ডেটা পাঠিয়ে তার কমান্ড-অ্যান্ড-কন্ট্রোল (C2) যোগাযোগ গোপন করে।
আক্রমণের মাধ্যম হিসেবে বিশ্বাস: সামাজিক মাধ্যমে কারসাজি
এই অভিযানটি শুরু হয় ভুয়া ফেসবুক প্রোফাইল তৈরির মাধ্যমে, যেগুলো কথিতভাবে পিয়ংইয়ং এবং পিয়ংসং-এ অবস্থিত। এই অ্যাকাউন্টগুলো সম্ভাব্য শিকারদের শনাক্ত ও মূল্যায়ন করতে ব্যবহৃত হয়। একবার সংযোগ স্থাপিত হলে, কথোপকথন মেসেঞ্জারে স্থানান্তরিত হয়, যেখানে বিশ্বাস ও সম্পৃক্ততা গভীর করার জন্য সতর্কতার সাথে নির্বাচিত বিষয়গুলো তুলে ধরা হয়।
ব্যবহৃত একটি গুরুত্বপূর্ণ কৌশল হলো ছলচাতুরী, যেখানে লক্ষ্যবস্তুকে এই মিথ্যা অজুহাতে একটি বিশেষায়িত পিডিএফ ভিউয়ার ইনস্টল করতে রাজি করানো হয় যে, এনক্রিপ্টেড সামরিক নথি অ্যাক্সেস করার জন্য এটি প্রয়োজন। প্রদত্ত অ্যাপ্লিকেশনটি হলো ওয়ান্ডারশেয়ার পিডিএফএলিমেন্ট-এর একটি পরিবর্তিত সংস্করণ, যার মধ্যে ক্ষতিকারক শেলকোড এমবেড করা থাকে। এটি চালু হওয়ার পর, এই ইনস্টলারটি আক্রমণকারীদের প্রাথমিক সিস্টেম অ্যাক্সেস দিয়ে সিস্টেমটি হ্যাক হওয়ার প্রক্রিয়া শুরু করে।
স্তরযুক্ত প্রতারণা: উন্নত বিতরণ এবং এড়ানোর কৌশল
একাধিক এড়ানোর কৌশলের সমন্বয়ের মাধ্যমে আক্রমণ শৃঙ্খলটি উচ্চ মাত্রার পরিশীলতা প্রদর্শন করে:
- সন্দেহ এড়ানোর জন্য ট্রোজানযুক্ত বৈধ সফটওয়্যারের ব্যবহার
- C2 অপারেশনের জন্য আপোসকৃত কিন্তু বিশ্বস্ত ওয়েব পরিকাঠামোর অপব্যবহার
- ক্ষতিকারক পেলোডকে জেপিজি ছবির মতো নিরীহ ফাইল হিসেবে ছদ্মবেশ দেওয়া
বিশেষভাবে উল্লেখ্য, আক্রমণকারীরা কমান্ড ও পেলোড বিতরণের জন্য একটি জাপানি রিয়েল এস্টেট পরিষেবা সংস্থার সিউল শাখার সাথে যুক্ত একটি হ্যাক হওয়া ওয়েবসাইট ব্যবহার করেছিল। দ্বিতীয় পর্যায়ের পেলোডটি একটি নিরীহ ইমেজ ফাইল হিসেবে আবির্ভূত হয়, যা RokRAT-এর চূড়ান্ত প্রয়োগকে গোপন করে।
বহু-পর্যায়ের বাস্তবায়ন: সামাজিক যোগাযোগ থেকে পূর্ণ আপোস পর্যন্ত
আক্রমণ প্রক্রিয়াটি কয়েকটি সমন্বিত ধাপের মধ্য দিয়ে অগ্রসর হয়। আক্রমণকারীরা ১০ নভেম্বর, ২০২৫ তারিখে 'richardmichael0828' এবং 'johnsonsophia0414' নামে ফেসবুক অ্যাকাউন্ট তৈরি করে। সম্পর্ক স্থাপনের পর, যোগাযোগ টেলিগ্রামে পাঠিয়ে দেওয়া হয়, যেখানে ভুক্তভোগীরা একটি জিপ (ZIP) আর্কাইভ পায়। এই আর্কাইভে ক্ষতিকারক পিডিএফ ভিউয়ার, নকল ডকুমেন্ট এবং ইনস্টলেশনের নির্দেশাবলী থাকে।
হ্যাক হওয়া ইনস্টলারটি চালালে এনক্রিপ্টেড শেলকোড সক্রিয় হয়, যা একটি C2 ডোমেইনের সাথে সংযোগ স্থাপন করে এবং একটি JPG ইমেজ ফাইলের ছদ্মবেশে থাকা দ্বিতীয় একটি পেলোড সংগ্রহ করে। এই ফাইলটিই শেষ পর্যন্ত সম্পূর্ণ RokRAT ম্যালওয়্যারটি সরবরাহ করে।
ক্লাউড-ভিত্তিক কমান্ড ও কন্ট্রোল: বৈধ ট্র্যাফিকের সাথে মিশে যাওয়া
RokRAT তার C2 পরিকাঠামোর অংশ হিসেবে Zoho WorkDrive-এর অপব্যবহারের মাধ্যমে নিজের গোপনীয়তা আরও বাড়িয়ে তোলে, যা ২০২৬ সালের শুরুর দিকে শনাক্ত হওয়া 'Ruby Jumper' ক্যাম্পেইনেও দেখা গিয়েছিল। এই পদ্ধতির মাধ্যমে ম্যালওয়্যারটি স্ক্রিনশট ক্যাপচার, সিস্টেম শেলের মাধ্যমে দূরবর্তী কমান্ড কার্যকর করা, হোস্ট ডেটা সংগ্রহ এবং নিরাপত্তা এড়ানোর মতো কাজগুলো সম্পাদন করে।
কৌশলগত লক্ষ্য: কার্যকারিতায় স্থিতিশীলতা, সরবরাহে উদ্ভাবন
যদিও বিভিন্ন অপারেশনে RokRAT-এর মূল সক্ষমতাগুলো মূলত একই রকম রয়েছে, এর সংক্রমণ পদ্ধতি এবং এড়ানোর কৌশল ক্রমাগত বিকশিত হচ্ছে। এই কৌশলগত গুরুত্ব এটাই প্রমাণ করে যে, ম্যালওয়্যারটির মৌলিক কার্যকারিতা পরিবর্তন না করে, বরং সংক্রমণের মাধ্যম এবং গোপন কৌশল উন্নত করার ওপরই সচেতনভাবে মনোযোগ দেওয়া হয়েছে।
