RTX RAT

CPUID-সম্পর্কিত একটি নিরাপত্তা ঘটনার ফলে এর অফিসিয়াল ওয়েবসাইট, cpuid.com-এর মাধ্যমে ব্যবহারকারীরা ক্ষতিকারক সফটওয়্যারের সংস্পর্শে আসেন। ২৪ ঘণ্টারও কম সময়ের মধ্যে, আক্রমণকারীরা সফলভাবে ডাউনলোড লিঙ্কগুলো কারসাজি করে বহুল ব্যবহৃত হার্ডওয়্যার মনিটরিং টুলগুলোর সংক্রামিত সংস্করণ বিতরণ করে।

এই লঙ্ঘনটি ৯ই এপ্রিল ১৫:০০ ইউটিসি থেকে ১০ই এপ্রিল ১০:০০ ইউটিসি-এর মধ্যে ঘটেছিল, যে সময়ে বৈধ ইনস্টলার লিঙ্কগুলো মাঝে মাঝে ক্ষতিকারক রিডাইরেক্ট দ্বারা প্রতিস্থাপিত হচ্ছিল। গুরুত্বপূর্ণভাবে, সিপিইউআইডি নিশ্চিত করেছে যে এর আসল স্বাক্ষরিত বাইনারিগুলো অক্ষত ছিল, কারণ এই লঙ্ঘনটি মূল সফটওয়্যার পরিবর্তন না করে, বরং একটি গৌণ বৈশিষ্ট্য—মূলত একটি সাইড এপিআই—থেকে উদ্ভূত হয়েছিল, যা ওয়েবসাইটটিকে এলোমেলোভাবে ক্ষতিকারক লিঙ্ক প্রদর্শন করতে বাধ্য করছিল।

ক্ষতিকর পরিকাঠামো: আক্রমণের নেপথ্যে থাকা দুর্বৃত্ত ডোমেইনসমূহ

সাইবার নিরাপত্তা গবেষকদের তদন্তে ট্রোজানযুক্ত পেলোডগুলো হোস্ট ও সরবরাহ করতে ব্যবহৃত বেশ কয়েকটি ডোমেইন শনাক্ত করা হয়েছে। এই প্রতারণামূলক ওয়েবসাইটগুলো অসতর্ক ব্যবহারকারীদেরকে আপোসকৃত ডাউনলোডের দিকে পরিচালিত করতে কেন্দ্রীয় ভূমিকা পালন করেছিল:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• Vatrobran[.]hr

এই ডোমেইনগুলো ম্যালওয়্যার বিতরণ এবং কমান্ড-অ্যান্ড-কন্ট্রোল কার্যক্রমকে সমর্থন করার জন্য পরিকল্পিত একটি বৃহত্তর অবকাঠামোর অংশ ছিল।

গোপন ডেলিভারি প্রক্রিয়া: ডিএলএল সাইড-লোডিং অপব্যবহার

আক্রমণকারীরা ডিএলএল সাইড-লোডিং নামক একটি সুপরিচিত ফাঁকি দেওয়ার কৌশল ব্যবহার করেছিল। ক্ষতিকারক প্যাকেজগুলো জিপ আর্কাইভ এবং স্বতন্ত্র ইনস্টলার উভয় রূপেই বিতরণ করা হয়েছিল, যার প্রতিটিতে দুটি উপাদান ছিল: একটি বৈধ, স্বাক্ষরিত এক্সিকিউটেবল এবং 'CRYPTBASE.dll' নামের একটি প্রতারণামূলক ডাইনামিক লিঙ্ক লাইব্রেরি।

স্বাক্ষরিত বাইনারিগুলোর ওপর থাকা বিশ্বাসের সুযোগ নিয়ে, এক্সিকিউশনের সময় ক্ষতিকারক ডিএলএল-টি লোড করা হয়েছিল, যা গোপনে সিস্টেম হ্যাক করার সুযোগ করে দেয়। পরবর্তী পদক্ষেপ নেওয়ার আগে, ম্যালওয়্যারটি অ্যানালাইসিস এনভায়রনমেন্টে শনাক্ত হওয়া এড়ানোর জন্য অ্যান্টি-স্যান্ডবক্স চেক সম্পন্ন করে। এই চেকগুলো সফলভাবে সম্পন্ন হওয়ার পর, এটি অতিরিক্ত পেলোড সংগ্রহের জন্য একটি বাহ্যিক সার্ভারের সাথে যোগাযোগ করে।

STX RAT স্থাপন: একটি বহুমুখী পোস্ট-এক্সপ্লয়টেশন টুল

এই অভিযানের চূড়ান্ত উদ্দেশ্য ছিল STX RAT স্থাপন করা, যা হিডেন ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (HVNC) ক্ষমতা এবং ব্যাপক ডেটা চুরির কার্যকারিতায় সজ্জিত একটি শক্তিশালী রিমোট অ্যাক্সেস ট্রোজান।

এই ম্যালওয়্যারটি আক্রমণকারীদেরকে সংক্রমিত সিস্টেমের ওপর স্থায়ী নিয়ন্ত্রণ বজায় রাখতে এবং এক্সপ্লয়টেশন-পরবর্তী বিভিন্ন ধরনের কার্যকলাপ সম্পাদন করতে সক্ষম করে, যার মধ্যে রয়েছে:

• EXE, DLL, PowerShell স্ক্রিপ্ট এবং শেলকোডের ইন-মেমরি এক্সিকিউশন
• রিভার্স প্রক্সিং এবং নেটওয়ার্ক টানেলিং
• রিমোট ডেস্কটপ ইন্টারঅ্যাকশন এবং নজরদারি

এই ধরনের সক্ষমতা STX RAT-কে ব্যক্তিগত এবং প্রাতিষ্ঠানিক উভয় পরিবেশেই বিশেষভাবে বিপজ্জনক করে তোলে।

প্রচারণার পুনরাবৃত্তি: পূর্ববর্তী ফাইলজিলা আক্রমণের সাথে সংযোগ

বিশ্লেষণে দেখা গেছে যে, এই ঘটনায় ব্যবহৃত কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামোটি পূর্বে ফাইলজিলা (FileZilla)-র ট্রোজানযুক্ত ইনস্টলার-সম্পর্কিত একটি পৃথক অভিযানের সাথে যুক্ত ছিল। একই সার্ভার কনফিগারেশন এবং কমিউনিকেশন ডোমেইনের পুনঃব্যবহার এই দুটি অভিযানের মধ্যে কার্যপরিচালনার ক্ষেত্রে জোরালো মিলের ইঙ্গিত দেয়।

কৌশল, পদ্ধতি এবং অবকাঠামোর এই পুনরাবৃত্তি শনাক্তকরণ ও দায় নির্ধারণের জন্য মূল্যবান সূচক প্রদান করেছে।

দীর্ঘমেয়াদী অভিযান: একটি ১০-মাসের প্রচারণার সময়রেখা

আরও তদন্তে জানা গেছে যে, সিপিইউআইডি (CPUID) লঙ্ঘনটি একটি বৃহত্তর অভিযানের অংশ, যা ২০২৫ সালের জুলাই মাসে শুরু হয়েছিল। সবচেয়ে পুরোনো পরিচিত ম্যালওয়্যার নমুনা, যা 'superbad.exe' নামে চিহ্নিত, সেটিকে 95.216.51.236 ঠিকানার একটি কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করতে দেখা গেছে।

নিরাপত্তা বিশেষজ্ঞদের ধারণা, হুমকিদাতা সম্ভবত রুশ-ভাষী এবং সে আর্থিকভাবে উদ্দেশ্যপ্রণোদিত হতে পারে অথবা একজন ইনিশিয়াল অ্যাক্সেস ব্রোকার হিসেবে কাজ করছে; ইনিশিয়াল অ্যাক্সেস ব্রোকার হলো এমন একটি সত্তা যা বিভিন্ন সিস্টেমে প্রবেশাধিকার লাভ করা এবং সেই প্রবেশাধিকার অন্যান্য সাইবার অপরাধীদের কাছে বিক্রি করার ক্ষেত্রে বিশেষজ্ঞ।

প্রভাব মূল্যায়ন: বৈচিত্র্যময় ভুক্তভোগীদের সাথে বিশ্বব্যাপী বিস্তার

এই হামলায় ১৫০ জনেরও বেশি নিশ্চিত ভুক্তভোগী ক্ষতিগ্রস্ত হয়েছেন, যাদের অধিকাংশই ব্যক্তিগত ব্যবহারকারী। তবে, খুচরা, উৎপাদন, পরামর্শ, টেলিযোগাযোগ এবং কৃষি খাতসহ বিভিন্ন শিল্পের প্রতিষ্ঠানগুলোও এর দ্বারা ক্ষতিগ্রস্ত হয়েছে।

ভৌগোলিকভাবে, অধিকাংশ সংক্রমণ ব্রাজিল, রাশিয়া ও চীনে শনাক্ত হয়েছে, যা একটি ব্যাপক ও সুযোগসন্ধানী লক্ষ্য নির্ধারণ কৌশলের ইঙ্গিত দেয়।

কার্যকরী দুর্বলতা: যে ত্রুটিগুলোর কারণে শনাক্তকরণ

অভিযানের ব্যাপকতা সত্ত্বেও, বেশ কিছু পরিচালনগত নিরাপত্তা ব্যর্থতা আক্রমণকারীদের কার্যকারিতাকে মারাত্মকভাবে খর্ব করেছিল। পূর্ববর্তী অভিযানগুলো থেকে অভিন্ন ইনফেকশন চেইন, STX RAT পেলোড এবং কমান্ড-অ্যান্ড-কন্ট্রোল ডোমেইনের পুনঃব্যবহার এই কার্যকলাপের গতিবিধি অনুসরণ ও পারস্পরিক সম্পর্ক স্থাপনকে সহজ করে তুলেছিল।

এই ত্রুটিগুলো ম্যালওয়্যার তৈরি এবং স্থাপনের পদ্ধতিতে তুলনামূলকভাবে কম দক্ষতার ইঙ্গিত দেয়। ফলে, প্রতিরোধকারীরা ওয়াটারিং হোল আক্রমণটি শুরু হওয়ার পরপরই দ্রুত শনাক্ত করতে সক্ষম হয়েছিল, যা এর সামগ্রিক প্রভাব এবং ঝুঁকির সময়কালকে সীমিত করে দেয়।