সুপারবিয়ার রেট
দক্ষিণ কোরিয়ার নাগরিক সমাজ সংস্থাগুলির উপর সম্ভাব্য ফোকাস সহ একটি ফিশিং প্রচারাভিযান সুপারবিয়ার নামে একটি পূর্বে অজানা RAT (রিমোট অ্যাক্সেস ট্রোজান) হুমকি উন্মোচন করেছে৷ 2023 সালের আগস্টের শেষের দিকে একজন অজ্ঞাত কর্মী জড়িত একটি ঘটনায় নিরাপত্তা বিশেষজ্ঞরা এই হুমকি শনাক্ত করেছেন যিনি একটি টেম্পার করা LNK ফাইল পেয়েছেন। প্রতারক প্রেরকের ইমেল ঠিকানাটি লক্ষ্য করা অলাভজনক সংস্থার সদস্যের নকল করেছে।
সুচিপত্র
একটি মাল্টি-স্টেজ অ্যাটাক চেইন সুপারবিয়ার পেলোড সরবরাহ করে
অ্যাক্টিভেশনের পরে, LNK ফাইলটি একটি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট কার্যকর করার জন্য একটি পাওয়ারশেল কমান্ড ট্রিগার করে। এই স্ক্রিপ্টটি, পরিবর্তে, একটি বৈধ অথচ আপসহীন ওয়ার্ডপ্রেস ওয়েবসাইট থেকে পরবর্তী পর্যায়ের পেলোডগুলি পুনরুদ্ধার করে৷
এই পেলোডটিতে দুটি উপাদান রয়েছে: Autoit3.exe বাইনারি, 'solmir.pdb' হিসাবে চিহ্নিত এবং একটি AutoIt স্ক্রিপ্ট যা 'solmir_1.pdb' নামে পরিচিত। প্রাক্তনটি পরেরটির জন্য লঞ্চিং প্রক্রিয়া হিসাবে কাজ করে।
অটোআইটি স্ক্রিপ্ট, ঘুরে, একটি প্রক্রিয়া ইনজেকশন কৌশল নিযুক্ত করে যার নাম প্রসেস হোলোয়িং। এই কৌশলটি একটি স্থগিত প্রক্রিয়ার মধ্যে খারাপ কোড সন্নিবেশ করা জড়িত। এই উদাহরণে, এটি পূর্বে অদেখা SuperBear RAT-এর ইনজেকশন সহজতর করার জন্য Explorer.exe-এর একটি নতুন উদাহরণ তৈরি করে৷
সুপারবিয়ার র্যাট আপোসকৃত সিস্টেমে আক্রমণাত্মক ক্রিয়া সম্পাদন করে
সুপারবিয়ার র্যাট তিনটি প্রাথমিক আক্রমণ পরিচালনা করে: এক্সফিলট্রেটিং প্রক্রিয়া এবং সিস্টেম ডেটা, শেল কমান্ড চালানো এবং একটি DLL চালানো। ডিফল্টরূপে, C2 সার্ভার ক্লায়েন্টদেরকে সিস্টেম ডেটা এক্সফিল্ট্রেট এবং প্রসেস করার নির্দেশ দেয়, এটি একটি বৈশিষ্ট্য যা প্রায়ই আক্রমণের প্রচারণার সাথে যুক্ত থাকে যা পুনরুদ্ধার প্রচেষ্টার উপর দৃষ্টি নিবদ্ধ করে।
উপরন্তু, হুমকি অভিনেতারা শেল কমান্ড চালানোর জন্য বা প্রভাবিত মেশিনে একটি আপস করা DLL ডাউনলোড করার জন্য RAT-কে নির্দেশ দিতে পারে। যে ক্ষেত্রে DLL এর একটি ফাইলের নাম প্রয়োজন, এটি একটি এলোমেলো একটি তৈরি করার চেষ্টা করবে; যদি ব্যর্থ হয়, এটি ডিফল্ট নামে 'সুপারবিয়ার'। এই হুমকিটি এই আচরণ থেকে এর নাম অর্জন করেছে, এটির গতিশীল ফাইলনাম প্রজন্মের পদ্ধতিকে প্রতিফলিত করে।
আক্রমণটি অস্থায়ীভাবে কিমসুকি নামে পরিচিত একজন উত্তর কোরিয়ার জাতি-রাষ্ট্র অভিনেতাকে দায়ী করা হয় (এছাড়াও APT43 নামে পরিচিত বা এমারল্ড স্লিট, নিকেল কিমবল এবং ভেলভেট চোলিমা নামে উপনাম দ্বারা)। এই অ্যাট্রিবিউশনটি প্রাথমিক আক্রমণ ভেক্টর এবং নিযুক্ত পাওয়ারশেল কমান্ডের মধ্যে সাদৃশ্য থেকে আঁকা হয়েছে।
সাইবার ক্রিমিনাল এজেন্ডা ফিট করার জন্য RAT হুমকি কাস্টমাইজ করা যেতে পারে
RAT (রিমোট অ্যাকসেস ট্রোজান) হুমকিগুলি যেগুলি সাইবার অপরাধীর এজেন্ডা অনুসারে কাস্টমাইজ করা যেতে পারে তাদের বহুমুখী এবং অভিযোজনযোগ্য প্রকৃতির কারণে উল্লেখযোগ্য বিপদ ডেকে আনে৷ এখানে এই ধরনের হুমকির সাথে যুক্ত কিছু মূল বিপদ রয়েছে:
- অনিয়ন্ত্রিত রিমোট কন্ট্রোল : RATs সাইবার অপরাধীদের একটি সংক্রামিত সিস্টেমে সম্পূর্ণ এবং অনিয়ন্ত্রিত অ্যাক্সেস প্রদান করে। এই স্তরের নিয়ন্ত্রণ তাদের ক্ষতিকারক ক্রিয়াকলাপগুলির একটি বিস্তৃত পরিসর চালাতে দেয়, যার মধ্যে ডেটা চুরি, নজরদারি এবং সিস্টেম ম্যানিপুলেশন সহ, সবই শিকারের জ্ঞান বা সম্মতি ছাড়াই।
- ডেটা চুরি : সাইবার অপরাধীরা ব্যক্তিগত ডেটা, আর্থিক রেকর্ড, লগইন শংসাপত্র, মেধা সম্পত্তি এবং আরও অনেক কিছুর মতো সংবেদনশীল তথ্য সংগ্রহ করতে RAT ব্যবহার করতে পারে। সংগৃহীত ডেটা ডার্ক ওয়েবে বিক্রি করা যেতে পারে বা পরিচয় চুরি, আর্থিক জালিয়াতি বা কর্পোরেট গুপ্তচরবৃত্তির জন্য ব্যবহার করা যেতে পারে।
- গুপ্তচরবৃত্তি এবং নজরদারি : কাস্টমাইজযোগ্য RAT প্রায়শই গুপ্তচরবৃত্তির উদ্দেশ্যে ব্যবহার করা হয়, সাইবার অপরাধীদের একজন ভিকটিমদের কার্যকলাপ নিরীক্ষণ এবং রেকর্ড করতে, স্ক্রিনশট ক্যাপচার করতে, কীস্ট্রোক রেকর্ড করতে এবং এমনকি শিকারের ওয়েবক্যাম এবং মাইক্রোফোন সক্রিয় করতে সক্ষম করে। এটি গোপনীয়তা লঙ্ঘন এবং সংবেদনশীল ব্যক্তিগত বা কর্পোরেট তথ্য সংগ্রহ করতে পারে।
- ক্রমাগত অ্যাক্সেস : RATs একটি সংক্রামিত সিস্টেমে অবিরাম অ্যাক্সেস বজায় রাখার জন্য ডিজাইন করা হয়েছে, সাইবার অপরাধীদের একটি বর্ধিত সময়ের জন্য আপস করা ডিভাইসের উপর নিয়ন্ত্রণ বজায় রাখার অনুমতি দেয়। এই অধ্যবসায় ক্ষতিগ্রস্থদের জন্য ম্যালওয়্যার শনাক্ত করা এবং অপসারণ করাকে চ্যালেঞ্জিং করে তোলে, আক্রমণকারীদের সিস্টেমে একটি চলমান পা রাখার ব্যবস্থা করে।
- প্রচার এবং বিস্তার : কাস্টমাইজড RAT গুলিকে একটি নেটওয়ার্কের মধ্যে অন্যান্য সিস্টেমে ছড়িয়ে দেওয়ার জন্য প্রোগ্রাম করা যেতে পারে, সম্ভাব্য একাধিক ডিভাইস এবং এমনকি সম্পূর্ণ সংস্থার আপসের দিকে পরিচালিত করে। এর ফলে ব্যাপক ক্ষতি, ডেটা লঙ্ঘন এবং অপারেশনাল ব্যাঘাত ঘটতে পারে।
- কাস্টমাইজড অ্যাটাক : সাইবার অপরাধীরা নির্দিষ্ট অ্যাটাক ভেক্টর চালানোর জন্য RAT-কে টেইলার্জ করতে পারে, যা নিরাপত্তা সফ্টওয়্যারের পক্ষে তাদের সনাক্ত করা এবং প্রতিরোধ করা কঠিন করে তোলে। এই আক্রমণগুলি নির্দিষ্ট সংস্থা, শিল্প বা ব্যক্তিকে লক্ষ্য করার জন্য ডিজাইন করা যেতে পারে, সাফল্যের সম্ভাবনা বাড়ায়।
- এড়িয়ে যাওয়া সনাক্তকরণ : কাস্টমাইজড RAT প্রায়শই এনক্রিপশন, অস্পষ্টতা এবং পলিমরফিজম সহ অ্যান্টি-ডিটেকশন কৌশলগুলিকে অন্তর্ভুক্ত করে, যা নিরাপত্তা সমাধানগুলির জন্য হুমকি শনাক্ত করা এবং প্রশমিত করাকে চ্যালেঞ্জ করে তোলে। এটি আক্রমণকারীদের লুকিয়ে থাকতে এবং বর্ধিত সময়ের জন্য সনাক্তকরণ এড়াতে অনুমতি দেয়।
- র্যানসমওয়্যার স্থাপনা : র্যান্সমওয়্যার পেলোড বিতরণ, ক্ষতিগ্রস্ত ব্যক্তিদের নিজস্ব সিস্টেম থেকে লক করা বা তাদের ডেটা এনক্রিপ্ট করার মাধ্যম হিসেবে RATs ব্যবহার করা যেতে পারে। সাইবার অপরাধীরা তখন ডিক্রিপশন কী এর বিনিময়ে মুক্তিপণ দাবি করতে পারে, যার ফলে আর্থিক ও অপারেশনাল ব্যাঘাত ঘটতে পারে।
- বটনেট গঠন : কাস্টমাইজযোগ্য RATs একটি বটনেটে সংক্রামিত ডিভাইসগুলিকে নিয়োগ করতে ব্যবহার করা যেতে পারে, যা বিভিন্ন দূষিত উদ্দেশ্যে যেমন ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণ, স্প্যাম বিতরণ বা ম্যালওয়্যারের আরও প্রচারের জন্য ব্যবহার করা যেতে পারে।
সংক্ষেপে, সাইবার অপরাধীদের উদ্দেশ্য অনুসারে কাস্টমাইজ করা RAT হুমকিগুলি বহুমুখী বিপদ ডেকে আনে, কারণ তারা ব্যক্তি, সংস্থা এবং এমনকি সমগ্র সেক্টরের উল্লেখযোগ্য আর্থিক, কর্মক্ষম, এবং সুনামগত ক্ষতির সম্ভাবনা সহ বিস্তৃত অনিরাপদ ক্রিয়াকলাপ সক্ষম করে। এই হুমকি মোকাবেলা করার জন্য, নিয়মিত আপডেট, কর্মচারী প্রশিক্ষণ, এবং উন্নত হুমকি সনাক্তকরণ এবং প্রতিরোধ সরঞ্জাম সহ শক্তিশালী সাইবার নিরাপত্তা ব্যবস্থা অপরিহার্য।
