RustyWater RAT
ইরানের সাথে যুক্ত হুমকি অভিনেতা, যাকে সাধারণত MuddyWater নামে পরিচিত, মধ্যপ্রাচ্য জুড়ে কূটনৈতিক, সামুদ্রিক, আর্থিক এবং টেলিযোগাযোগ সংস্থাগুলিকে লক্ষ্য করে একটি নতুন স্পিয়ার-ফিশিং অভিযানের সাথে জড়িত বলে মনে করা হচ্ছে। এই কার্যক্রমটি রাস্টিওয়াটার নামে একটি রাস্ট-ভিত্তিক ইমপ্লান্টের উপর কেন্দ্রীভূত, যা কাস্টম-নির্মিত ম্যালওয়্যারের দিকে গ্রুপের অবিচল বিবর্তনের আরেকটি পদক্ষেপ চিহ্নিত করে।
ম্যাঙ্গো স্যান্ডস্টর্ম, স্ট্যাটিক কিটেন এবং টিএ৪৫০ নামেও ট্র্যাক করা, মাডিওয়াটারকে ইরানের গোয়েন্দা ও নিরাপত্তা মন্ত্রণালয়ের (এমওআইএস) পক্ষে কাজ করার জন্য ব্যাপকভাবে মূল্যায়ন করা হয়। এই গোষ্ঠীটি কমপক্ষে ২০১৭ সাল থেকে সক্রিয় এবং আঞ্চলিক সরকারী এবং বেসরকারী খাতের লক্ষ্যবস্তুতে অবিরাম মনোযোগ বজায় রেখেছে।
সুচিপত্র
সংক্রমণ ভেক্টর: অস্ত্রযুক্ত নথি এবং চাক্ষুষ প্রতারণা
আক্রমণের এই শৃঙ্খল তুলনামূলকভাবে সহজ কিন্তু কার্যকর। ভুক্তভোগীরা অফিসিয়াল সাইবার নিরাপত্তা নির্দেশিকার মতো দেখতে স্পিয়ার-ফিশিং ইমেলগুলি পান। এই বার্তাগুলিতে একটি ক্ষতিকারক মাইক্রোসফ্ট ওয়ার্ড সংযুক্তি থাকে যা আইকন স্পুফিংকে বৈধ দেখানোর জন্য ব্যবহার করে।
ডকুমেন্টটি খোলার পর, ব্যবহারকারীকে 'কন্টেন্ট সক্ষম করুন' বলতে বলা হয়। এই অনুরোধ গ্রহণ করলে একটি ক্ষতিকারক VBA ম্যাক্রো তৈরি হয় যা রাস্ট-ভিত্তিক পেলোডটি ড্রপ করে এবং কার্যকর করে। প্রচারণার সাফল্যের জন্য এই সামাজিক প্রকৌশল পদক্ষেপটি অত্যন্ত গুরুত্বপূর্ণ।
ম্যালওয়্যারের ক্ষমতা: রাস্টিওয়াটার ইমপ্লান্টের ভেতরে
RustyWater, যা Archer RAT বা RUSTRIC নামেও পরিচিত, এটি একটি মডুলার রিমোট অ্যাক্সেস ট্রোজান হিসেবে কাজ করে যা স্টিলথ এবং নমনীয়তার জন্য ডিজাইন করা হয়েছে। একবার স্থাপন করা হলে, এটি সংক্রামিত সিস্টেম সম্পর্কে বিস্তারিত তথ্য সংগ্রহ করে, ইনস্টল করা সুরক্ষা পণ্যগুলি পরীক্ষা করে এবং একটি উইন্ডোজ রেজিস্ট্রি কী এর মাধ্যমে স্থায়িত্ব প্রতিষ্ঠা করে।
এরপর ইমপ্লান্টটি 'nomercys.it[.]com'-এ একটি কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ শুরু করে, যা অ্যাসিঙ্ক্রোনাস ইন্টারঅ্যাকশন সক্ষম করে। এই চ্যানেলের মাধ্যমে, অপারেটররা কমান্ড কার্যকর করতে, ফাইল পরিচালনা করতে এবং অতিরিক্ত মডিউলের মাধ্যমে কার্যকারিতা প্রসারিত করতে পারে, যা দীর্ঘমেয়াদী আপস-পরবর্তী ক্রিয়াকলাপগুলিকে সমর্থন করে।
ট্রেডক্রাফ্ট বিবর্তন: জমির বাইরে বসবাস থেকে কাস্টম টুলিং পর্যন্ত
ঐতিহাসিকভাবে, MuddyWater প্রাথমিক অ্যাক্সেস এবং ফলো-অন কার্যকলাপ উভয়ই পরিচালনা করার জন্য পাওয়ারশেল এবং VBS লোডারগুলির সাথে বৈধ রিমোট অ্যাক্সেস সরঞ্জামগুলির উপর ব্যাপকভাবে নির্ভর করত। সময়ের সাথে সাথে, গ্রুপটি ইচ্ছাকৃতভাবে বেসপোক ম্যালওয়্যারের ক্রমবর্ধমান পোর্টফোলিওর পক্ষে সেই নির্ভরতা হ্রাস করেছে।
এই কাস্টম ইকোসিস্টেমে ফিনিক্স, ইউডিপিগ্যাংস্টার, বাগস্লিপ (যাকে মাডিরটও বলা হয়) এবং মাডিভাইপারের মতো সরঞ্জাম রয়েছে। রাস্ট-ভিত্তিক ইমপ্লান্ট গ্রহণ আরও কাঠামোগত, মডুলার এবং কম শব্দ ক্ষমতার দিকে একটি পরিবর্তনকে প্রতিফলিত করে যা বিশ্লেষণ এবং সনাক্ত করা কঠিন।
বিস্তৃত কার্যকলাপ: মধ্যপ্রাচ্যের বাইরে RUSTRIC
২০২৫ সালের ডিসেম্বরের শেষের দিকে, গবেষকরা ইসরায়েলে তথ্য প্রযুক্তি সংস্থা, পরিচালিত পরিষেবা প্রদানকারী, মানবসম্পদ বিভাগ এবং সফ্টওয়্যার উন্নয়ন সংস্থাগুলিকে লক্ষ্য করে RUSTRIC-এর ব্যবহারের কথা জানিয়েছেন। কার্যকলাপের এই গোষ্ঠীটিকে UNG0801 এবং Operation IconCat হিসাবে ট্র্যাক করা হচ্ছে।
এই অনুসন্ধানগুলি জোর দেয় যে রাস্টিওয়াটার কোনও বিচ্ছিন্ন পরীক্ষা নয় বরং এটি মাডিওয়াটারের ক্রমবর্ধমান আক্রমণাত্মক টুলকিটের একটি সক্রিয় উপাদান।
কৌশলগত প্রভাব: আরও পরিণত প্রতিপক্ষ
রাস্টিওয়াটারের উত্থান স্থায়িত্ব, মডুলার সম্প্রসারণ এবং এড়িয়ে যাওয়ার জন্য ডিজাইন করা উদ্দেশ্য-নির্মিত ম্যালওয়্যারে MuddyWater-এর অব্যাহত বিনিয়োগকে তুলে ধরে। এই অগ্রগতি আরও পরিপক্ক কর্মক্ষম অবস্থানের ইঙ্গিত দেয়, যেখানে এমন টুলিং রয়েছে যা প্রকাশ্য, স্ক্রিপ্ট-ভারী কার্যকলাপের পরিবর্তে নীরব, দীর্ঘমেয়াদী অ্যাক্সেস সমর্থন করে।
রক্ষাকারীদের জন্য, এই বিবর্তনটি ডকুমেন্ট-ভিত্তিক ফিশিং লোভগুলি যাচাই করার, রেজিস্ট্রি-ভিত্তিক স্থায়িত্ব প্রক্রিয়াগুলি পর্যবেক্ষণ করার এবং অস্বাভাবিক বহির্গামী সংযোগগুলি, বিশেষ করে নতুন পর্যবেক্ষণ করা রাস্ট ম্যালওয়্যার পরিবারের সাথে সম্পর্কিত সংযোগগুলি নিবিড়ভাবে পরিদর্শন করার প্রয়োজনীয়তাকে আরও জোরদার করে।
