TAMECAT ব্যাকডোর

ইরানের রাষ্ট্র-সংযুক্ত গোষ্ঠী APT42-এর সাথে জড়িত গুপ্তচরবৃত্তির এক জোয়ার দেখা দিয়েছে, বিশ্লেষকরা ইসলামিক রেভোলিউশনারি গার্ড কর্পস (IRGC) এর স্বার্থের সাথে যুক্ত ব্যক্তি এবং সংস্থাগুলির বিরুদ্ধে একটি কেন্দ্রীভূত প্রচেষ্টা পর্যবেক্ষণ করছেন। 2025 সালের সেপ্টেম্বরের গোড়ার দিকে সনাক্ত করা হয়েছিল এবং স্পিয়ারস্পেক্টর কোডনাম দেওয়া হয়েছিল, এই অভিযানটি গোয়েন্দা তথ্য সংগ্রহের লক্ষ্যে সামাজিক প্রকৌশল এবং বিশেষায়িত ম্যালওয়্যার স্থাপনের একটি পরিশীলিত মিশ্রণ প্রদর্শন করে।

একটি বিস্তৃত লক্ষ্যবস্তু কৌশল

এই অভিযানের পেছনের পরিচালকরা সরাসরি সরকারি ও প্রতিরক্ষা কর্মকর্তাদের লক্ষ্য করে কাজ করছেন, তাদের সাথে জড়িত থাকার জন্য অত্যন্ত ব্যক্তিগতকৃত পদ্ধতি ব্যবহার করছেন। বিশিষ্ট সম্মেলনে আমন্ত্রণ এবং প্রভাবশালী সভার প্রস্তাব সাধারণ প্রলোভন। এই কার্যকলাপের একটি নির্দিষ্ট বৈশিষ্ট্য হল পরিবারের সদস্যদের অন্তর্ভুক্ত করার জন্য ভুক্তভোগীদের সংখ্যা বৃদ্ধি করা, চাপ বৃদ্ধি করা এবং প্রাথমিক লক্ষ্যবস্তুর চারপাশে আক্রমণের পৃষ্ঠ প্রসারিত করা।

APT42 এর উৎপত্তি এবং বিবর্তন

গবেষকরা IRGC-সম্পর্কিত একাধিক গোষ্ঠীর সাথে এটি যুক্ত করার পরপরই APT42 ২০২২ সালের শেষের দিকে পাবলিক রিপোর্টিংয়ে প্রবেশ করে। এর মধ্যে রয়েছে APT35, Charming Kitten, ITG18, Mint Sandstorm, এবং TA453 এর মতো সুপরিচিত ক্লাস্টার। গ্রুপটির কার্যকরী ট্রেডমার্ক হল দীর্ঘমেয়াদী সামাজিক প্রকৌশল কার্যক্রম পরিচালনা করার ক্ষমতা, কখনও কখনও সপ্তাহব্যাপী, ক্ষতিকারক পেলোড বা ক্ষতিকারক লিঙ্ক সরবরাহ করার আগে বিশ্বাসযোগ্যতা অর্জনের জন্য বিশ্বস্ত পরিচিতিদের ছদ্মবেশ ধারণ করে।

২০২৫ সালের জুনের শুরুতে, বিশেষজ্ঞরা ইসরায়েলি সাইবার নিরাপত্তা এবং প্রযুক্তি পেশাদারদের লক্ষ্য করে আরেকটি বড় অভিযানের উন্মোচন করেছিলেন। সেই ক্ষেত্রে, আক্রমণকারীরা ইমেল এবং হোয়াটসঅ্যাপ উভয় যোগাযোগের মাধ্যমে নির্বাহী এবং গবেষক হিসেবে নিজেদের পরিচয় দিয়েছিল। যদিও সম্পর্কিত, জুনের কার্যকলাপ এবং স্পিয়ারস্পেক্টর APT42-এর দুটি ভিন্ন অভ্যন্তরীণ ক্লাস্টার থেকে উদ্ভূত - ক্লাস্টার B শংসাপত্র চুরির উপর দৃষ্টি নিবদ্ধ করে, যখন ক্লাস্টার D ম্যালওয়্যার-চালিত অনুপ্রবেশের উপর কেন্দ্রীভূত।

ব্যক্তিগতকৃত প্রতারণার কৌশল

স্পিয়ারস্পেক্টরের মূলে রয়েছে একটি নমনীয় আক্রমণ পদ্ধতি যা লক্ষ্যের মান এবং অপারেটরদের উদ্দেশ্যের উপর ভিত্তি করে তৈরি করা হয়েছে। কিছু ভুক্তভোগীকে জাল মিটিং পোর্টালগুলিতে পুনঃনির্দেশিত করা হয় যা প্রমাণপত্র সংগ্রহের জন্য ডিজাইন করা হয়েছে। অন্যরা আরও বেশি হস্তক্ষেপমূলক পদ্ধতির মুখোমুখি হয় যা TAMECAT নামে একটি স্থায়ী পাওয়ারশেল ব্যাকডোর সরবরাহ করে, যা সাম্প্রতিক বছরগুলিতে গ্রুপটি বারবার ব্যবহার করে আসছে।

সাধারণ আক্রমণের শৃঙ্খল শুরু হয় হোয়াটসঅ্যাপে ছদ্মবেশ ধারণের মাধ্যমে, যেখানে প্রতিপক্ষ আসন্ন এনগেজমেন্টের জন্য একটি প্রয়োজনীয় ডকুমেন্ট বলে দাবি করে একটি ক্ষতিকারক লিঙ্ক ফরোয়ার্ড করে। এটিতে ক্লিক করলে একটি পুনঃনির্দেশ ক্রম শুরু হয় যার ফলে পিডিএফের ছদ্মবেশে একটি WebDAV-হোস্টেড LNK ফাইল ডেলিভারি হয়, যা search-ms: প্রোটোকল হ্যান্ডলার ব্যবহার করে শিকারকে প্রতারিত করে।

TAMECAT ব্যাকডোর: মডুলার, স্থায়ী এবং অভিযোজিত

একবার কার্যকর করা হলে, LNK ফাইলটি আক্রমণকারী-পরিচালিত ক্লাউডফ্লেয়ার ওয়ার্কার্স সাবডোমেনের সাথে সংযোগ স্থাপন করে একটি ব্যাচ স্ক্রিপ্ট আনয়ন করে যা TAMECAT সক্রিয় করে। এই পাওয়ারশেল-ভিত্তিক ফ্রেমওয়ার্কটি এক্সফিল্ট্রেশন, নজরদারি এবং রিমোট ম্যানেজমেন্ট সমর্থন করার জন্য মডুলার উপাদান ব্যবহার করে। এর কমান্ড-এন্ড-কন্ট্রোল (C2) চ্যানেলগুলি HTTPS, ডিসকর্ড এবং টেলিগ্রাম জুড়ে বিস্তৃত, যা একটি অ্যাভিনিউ বন্ধ থাকলেও স্থিতিস্থাপকতা নিশ্চিত করে।

টেলিগ্রাম-ভিত্তিক ক্রিয়াকলাপের জন্য, TAMECAT আক্রমণকারীদের নিয়ন্ত্রণে থাকা একটি বট দ্বারা রিলে করা PowerShell কোড পুনরুদ্ধার করে এবং কার্যকর করে। Discord-ভিত্তিক C2 একটি ওয়েবহুক ব্যবহার করে যা সিস্টেমের বিবরণ পাঠায় এবং একটি পূর্বনির্ধারিত চ্যানেল থেকে কমান্ড গ্রহণ করে। বিশ্লেষণে দেখা যায় যে প্রতিটি সংক্রামিত হোস্টের জন্য কমান্ডগুলি কাস্টমাইজ করা যেতে পারে, যা একটি ভাগ করা অবকাঠামোর মাধ্যমে একাধিক লক্ষ্যবস্তুর বিরুদ্ধে সমন্বিত কার্যকলাপ সক্ষম করে।

গভীর গুপ্তচরবৃত্তিকে সমর্থন করে এমন ক্ষমতা

TAMECAT গোয়েন্দা তথ্য সংগ্রহের বিস্তৃত বৈশিষ্ট্য প্রদান করে। এর মধ্যে রয়েছে:

• তথ্য সংগ্রহ এবং নিষ্কাশন
• নির্দিষ্ট এক্সটেনশন সহ ফাইল সংগ্রহ করা
• গুগল ক্রোম, মাইক্রোসফট এজ এবং আউটলুক মেলবক্স থেকে ডেটা এক্সট্রাক্ট করা হচ্ছে
• প্রতি ১৫ সেকেন্ডে একটানা স্ক্রিনশট ক্যাপচার করা
• HTTPS বা FTP এর মাধ্যমে সংগৃহীত তথ্য বহিষ্কার করা
• গোপনীয়তা এবং ফাঁকি দেওয়ার ব্যবস্থা
• টেলিমেট্রি এবং পেলোড এনক্রিপ্ট করা
• পাওয়ারশেলের সোর্স কোড অস্পষ্ট করা হচ্ছে
• স্বাভাবিক সিস্টেম আচরণের সাথে ক্ষতিকারক ক্রিয়াকলাপগুলিকে মিশ্রিত করার জন্য লিভিং-অফ-দ্য-ল্যান্ড বাইনারি ব্যবহার করা
• ডিস্ক আর্টিফ্যাক্টগুলিকে ছোট করার জন্য প্রাথমিকভাবে মেমরিতে কার্যকর করা হচ্ছে

একটি স্থিতিস্থাপক এবং ছদ্মবেশী অবকাঠামো

স্পিয়ারস্পেক্টরকে সমর্থনকারী অবকাঠামো আক্রমণকারী-নিয়ন্ত্রিত সিস্টেমগুলিকে বৈধ ক্লাউড পরিষেবাগুলির সাথে মিশ্রিত করে ক্ষতিকারক কার্যকলাপকে আড়াল করে। এই হাইব্রিড পদ্ধতিটি নির্বিঘ্নে প্রাথমিক আপস, টেকসই C2 যোগাযোগ এবং গোপন ডেটা নিষ্কাশনের অনুমতি দেয়। অপারেশনাল ডিজাইনটি ন্যূনতম এক্সপোজার বজায় রেখে উচ্চ-মূল্যের নেটওয়ার্কগুলিতে দীর্ঘমেয়াদী অনুপ্রবেশের জন্য হুমকির প্রতিফলন ঘটায়।

উপসংহার

স্পিয়ারস্পেক্টর অভিযান APT42-এর গুপ্তচরবৃত্তির চলমান পরিমার্জনকে তুলে ধরে, যা দীর্ঘমেয়াদী সামাজিক প্রকৌশল, অভিযোজিত ম্যালওয়্যার এবং গোয়েন্দা উদ্দেশ্যগুলিকে এগিয়ে নেওয়ার জন্য শক্তিশালী অবকাঠামোর সমন্বয় করে। এর অবিচল এবং অত্যন্ত লক্ষ্যবস্তু প্রকৃতি কর্মকর্তা, প্রতিরক্ষা কর্মী এবং সংশ্লিষ্ট ব্যক্তিদের ক্রমাগত ঝুঁকির মধ্যে ফেলে, যা সমস্ত যোগাযোগ চ্যানেলে উচ্চতর সতর্কতা এবং শক্তিশালী নিরাপত্তা স্বাস্থ্যবিধির প্রয়োজনীয়তাকে আরও জোরদার করে।