SNOW ম্যালওয়্যার
UNC6692 নামে ট্র্যাক করা একটি পূর্বে অনুল্লিখিত থ্রেট ক্লাস্টার শনাক্ত করা হয়েছে, যা মাইক্রোসফট টিমস-এর মাধ্যমে উন্নত সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করে SNOW ম্যালওয়্যার নামে পরিচিত একটি কাস্টম ম্যালওয়্যার ফ্রেমওয়ার্ক স্থাপন করছে। আক্রমণকারীরা ধারাবাহিকভাবে আইটি হেল্প ডেস্ক কর্মীদের ছদ্মবেশ ধারণ করে এবং টার্গেটদের বাইরের অ্যাকাউন্ট থেকে আসা চ্যাট আমন্ত্রণ গ্রহণ করতে প্ররোচিত করে।
এই প্রতারণা একটি সমন্বিত ইমেল বোম্বিং ক্যাম্পেইনের মাধ্যমে আরও জোরদার করা হয়, যেখানে ভুক্তভোগীদের উপর স্প্যাম মেসেজের বন্যা বইয়ে দিয়ে তাদের মধ্যে জরুরি অবস্থা ও বিভ্রান্তি সৃষ্টি করা হয়। এর কিছুক্ষণ পরেই, আক্রমণকারী আইটি সাপোর্টের পরিচয় দিয়ে Teams-এর মাধ্যমে যোগাযোগ শুরু করে এবং মনগড়া সমস্যাটি সমাধানের জন্য সাহায্যের প্রস্তাব দেয়। এই দ্বি-স্তরীয় কারসাজির কৌশলটি ব্যবহারকারীর সম্মতি আদায়ের সম্ভাবনাকে উল্লেখযোগ্যভাবে বাড়িয়ে দেয়।
সুচিপত্র
ঐতিহ্যবাহী কৌশল, আধুনিক প্রভাব
এই কার্যপ্রণালীটি ঐতিহাসিকভাবে ব্ল্যাক বাস্টার সহযোগীদের সাথে যুক্ত কৌশলগুলোরই প্রতিচ্ছবি। দলটি র্যানসমওয়্যার কার্যক্রম বন্ধ করে দিলেও, তাদের পদ্ধতিগুলো এখনও কার্যকর রয়েছে। নিরাপত্তা গবেষকরা নিশ্চিত করেছেন যে, এই পদ্ধতিটি মূলত নির্বাহী এবং ঊর্ধ্বতন কর্মকর্তাদের লক্ষ্য করে, যার মাধ্যমে প্রাথমিক নেটওয়ার্ক অ্যাক্সেস পাওয়া যায় এবং যা পরবর্তীতে ডেটা পাচার, পার্শ্বীয় স্থানান্তর, র্যানসমওয়্যার স্থাপন এবং চাঁদাবাজির দিকে নিয়ে যেতে পারে। পর্যবেক্ষণে দেখা গেছে, আক্রমণকারীদের দ্বারা শুরু করা চ্যাটগুলো কয়েক সেকেন্ডের মধ্যেই সংঘটিত হয়েছে, যা এর স্বয়ংক্রিয়তা এবং সমন্বয়কে তুলে ধরে।
প্রতারণামূলক প্রবেশপথ: ভুয়া সমাধান
কুইক অ্যাসিস্ট বা সুপ্রিমো রিমোট ডেস্কটপের মতো শুধুমাত্র রিমোট ম্যানেজমেন্ট টুলের উপর নির্ভরশীল প্রচলিত আক্রমণগুলোর থেকে ভিন্ন, এই ক্যাম্পেইনটি একটি পরিবর্তিত সংক্রমণ শৃঙ্খল ব্যবহার করে। ভুক্তভোগীদের টিমস-এর মাধ্যমে শেয়ার করা একটি ফিশিং লিঙ্কে ক্লিক করতে নির্দেশ দেওয়া হয়, যা 'মেইলবক্স রিপেয়ার অ্যান্ড সিঙ্ক ইউটিলিটি ভি২.১.৫' হিসেবে উপস্থাপিত হয়।
লিঙ্কটি একটি আক্রমণকারী-নিয়ন্ত্রিত ক্লাউড স্টোরেজ সার্ভিসে হোস্ট করা একটি ক্ষতিকারক অটো-হটকি স্ক্রিপ্ট ডাউনলোড শুরু করে। একটি গেটকিপার ব্যবস্থা নিশ্চিত করে যে পেলোডটি শুধুমাত্র উদ্দিষ্ট লক্ষ্যেই পৌঁছায়, যা স্বয়ংক্রিয় নিরাপত্তা বিশ্লেষণ এড়াতে সাহায্য করে। এছাড়াও, স্ক্রিপ্টটি ব্রাউজারের ব্যবহার যাচাই করে এবং ক্রমাগত সতর্কবার্তার মাধ্যমে মাইক্রোসফট এজ ব্যবহারে বাধ্য করে, যা পরবর্তী ক্ষতিকারক উপাদানগুলোর সাথে সামঞ্জস্য নিশ্চিত করে।
স্নোবেল্ট: ব্রাউজারের নীরব ব্যাকডোর
প্রাথমিক স্ক্রিপ্টটি SNOWBELT নামক একটি ক্ষতিকারক ক্রোমিয়াম-ভিত্তিক ব্রাউজার এক্সটেনশন স্থাপন করার আগে তথ্য সংগ্রহ ও পর্যবেক্ষণ করে। নির্দিষ্ট কমান্ড-লাইন প্যারামিটার ব্যবহার করে একটি হেডলেস Edge প্রসেসের মাধ্যমে ইনস্টল হওয়া SNOWBELT একটি গোপন ব্যাকডোর হিসেবে কাজ করে। এটি SNOWGLAZE, SNOWBASIN, আরও কিছু AutoHotkey স্ক্রিপ্ট এবং একটি পোর্টেবল পাইথন এনভায়রনমেন্ট সম্বলিত কম্প্রেসড আর্কাইভসহ অতিরিক্ত পেলোড ডাউনলোডের সুবিধা প্রদান করে।
একই সাথে, ফিশিং ইন্টারফেসটি 'হেলথ চেক' ফিচারসহ একটি 'কনফিগারেশন ম্যানেজমেন্ট প্যানেল' প্রদর্শন করে। এই ইন্টারফেসটি অথেনটিকেশনের ছদ্মবেশে ব্যবহারকারীদের মেইলবক্সের ক্রেডেনশিয়াল ইনপুট করতে প্ররোচিত করে, কিন্তু এর পরিবর্তে সংবেদনশীল ডেটা ক্যাপচার করে এবং আক্রমণকারী-নিয়ন্ত্রিত পরিকাঠামোতে পাচার করে দেয়।
মডিউলার ম্যালওয়্যার ইকোসিস্টেম: SNOW ফ্রেমওয়ার্কের বিশ্লেষণ
SNOW ম্যালওয়্যার স্যুটটি স্থায়িত্ব, নিয়ন্ত্রণ এবং গোপনীয়তার জন্য পরিকল্পিত একটি সমন্বিত ও মডিউলার ইকোসিস্টেম হিসেবে কাজ করে:
- SNOWBELT একটি জাভাস্ক্রিপ্ট-ভিত্তিক কমান্ড রিলে হিসেবে কাজ করে, যা আক্রমণকারীর কাছ থেকে নির্দেশাবলী গ্রহণ করে এবং সেগুলো কার্যকর করার জন্য প্রেরণ করে।
- SNOWGLAZE একটি পাইথন-ভিত্তিক টানেলিং ইউটিলিটি হিসেবে কাজ করে, যা আক্রান্ত নেটওয়ার্ক এবং আক্রমণকারীর কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের মধ্যে একটি সুরক্ষিত ওয়েবসকেট সংযোগ স্থাপন করে।
- SNOWBASIN একটি স্থায়ী ব্যাকডোর হিসেবে কাজ করে, যা দূরবর্তী কমান্ড কার্যকর করা, ফাইল স্থানান্তর, স্ক্রিনশট গ্রহণ এবং নিজেকে মুছে ফেলার সুবিধা দেয়, এবং একই সাথে এটি একাধিক পোর্টে একটি স্থানীয় HTTP সার্ভার হিসেবে পরিচালিত হয়।
শোষণ-পরবর্তী পর্যায়: নিয়ন্ত্রণ সম্প্রসারণ এবং তথ্য আহরণ
প্রাথমিক অনুপ্রবেশের পর, হুমকিদাতা প্রবেশাধিকার আরও গভীর করতে এবং মূল্যবান তথ্য বের করে নেওয়ার জন্য একাধিক পদক্ষেপ গ্রহণ করে:
গুরুত্বপূর্ণ পোর্টগুলো স্ক্যান করার মাধ্যমে নেটওয়ার্ক রিকনেসান্স চালানো হয়, এরপর অ্যাডমিনিস্ট্রেটিভ টুল এবং কম্প্রোমাইজড সিস্টেমের মাধ্যমে টানেল করা রিমোট ডেস্কটপ সেশন ব্যবহার করে ল্যাটারাল মুভমেন্ট করা হয়।
সংবেদনশীল প্রসেস মেমরি আহরণের মাধ্যমে প্রিভিলেজ এসকেলেশন সম্পন্ন করা হয়, যা ক্রেডেনশিয়াল হার্ভেস্টিং এবং উচ্চ-স্তরের সিস্টেমে অননুমোদিত অ্যাক্সেস সক্ষম করে।
ডোমেইন কন্ট্রোলারগুলোকে হ্যাক করার জন্য পাস-দ্য-হ্যাশের মতো উন্নত কৌশল ব্যবহার করা হয়, যার পরে ডিরেক্টরি ডেটাবেসসহ সংবেদনশীল ডেটা সংগ্রহ করার জন্য ফরেনসিক টুল মোতায়েন করা হয়, যা পরবর্তীতে ফাইল ট্রান্সফার ইউটিলিটি ব্যবহার করে পাচার করা হয়।
ক্লাউড ক্যামোফ্লেজ: বৈধ পরিষেবার সাথে ক্ষতিকারক ট্র্যাফিকের মিশ্রণ
এই ক্যাম্পেইনের একটি প্রধান বৈশিষ্ট্য হলো বিশ্বস্ত ক্লাউড অবকাঠামোর কৌশলগত অপব্যবহার। ক্ষতিকারক পেলোড, ডেটা পাচার এবং কমান্ড-অ্যান্ড-কন্ট্রোল যোগাযোগ—সবই বৈধ ক্লাউড প্ল্যাটফর্মের মাধ্যমে পরিচালিত হয়। এই পদ্ধতিটি হুমকি সৃষ্টিকারী কার্যকলাপকে স্বাভাবিক এন্টারপ্রাইজ ট্র্যাফিকের সাথে নির্বিঘ্নে মিশে যেতে সাহায্য করে, যা খ্যাতি বা অস্বাভাবিকতা শনাক্তকরণের উপর ভিত্তি করে তৈরি প্রচলিত নিরাপত্তা ফিল্টারগুলোকে কার্যকরভাবে এড়িয়ে যায়।
ক্রমবিকাশমান হুমকির প্রেক্ষাপট: বিশ্বাসই প্রধান লক্ষ্যবস্তু
UNC6692 অভিযানটি সাইবার আক্রমণের কৌশলে একটি উল্লেখযোগ্য বিবর্তনকে তুলে ধরে, যেখানে সোশ্যাল ইঞ্জিনিয়ারিং, বিশ্বস্ত এন্টারপ্রাইজ টুল এবং মডিউলার ম্যালওয়্যারের সমন্বয় ঘটেছে। বহুল ব্যবহৃত প্ল্যাটফর্ম ও পরিষেবাগুলোর ওপর ব্যবহারকারীর আস্থাকে কাজে লাগিয়ে আক্রমণকারীরা সাফল্যের হার বাড়ায় এবং একই সাথে শনাক্তকরণও কমিয়ে আনে। উদ্ভাবনী বিতরণ পদ্ধতির পাশাপাশি পুরোনো কৌশলগুলোর টিকে থাকা একটি গুরুত্বপূর্ণ বাস্তবতাকে নির্দেশ করে: কার্যকর আক্রমণ কৌশলগুলো তাদের মূল পরিচালনাকারীদের অদৃশ্য হয়ে যাওয়ার অনেক পরেও টিকে থাকতে পারে।
