TOUGHPROGRESS ম্যালওয়্যার

গবেষকরা আবিষ্কার করেছেন যে চীনা রাষ্ট্র-স্পন্সরিত হুমকির বাহক, APT41, TOUGHPROGRESS নামক একটি নতুন চিহ্নিত ম্যালওয়্যার ব্যবহার করছে। এই অত্যাধুনিক ম্যালওয়্যারটি Google ক্যালেন্ডারকে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) চ্যানেল হিসেবে ব্যবহার করে, যা APT41 কে বৈধ ট্র্যাফিকের সাথে অনিরাপদ কার্যকলাপ মিশ্রিত করতে দেয়।

একটি গোপন অভিযানের আবিষ্কার

২০২৪ সালের অক্টোবরের শেষের দিকে এই কার্যকলাপটি প্রথম ধরা পড়ে, TOUGHPROGRESS একটি ক্ষতিগ্রস্ত সরকারি ওয়েবসাইটে হোস্ট করা হয়েছিল। এটি বিশেষভাবে অন্যান্য সরকারি সংস্থাগুলিকে লক্ষ্য করার জন্য মোতায়েন করা হয়েছিল, ক্লাউড পরিষেবার সুযোগ নিয়ে তাদের কার্যক্রম গোপন করা এবং সনাক্তকরণ এড়ানোর জন্য।

APT41: একজন পরিচিত শত্রু

APT41, যাকে Axiom, Blackfly, Brass Typhoon (পূর্বে Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda এবং Winnti নামেও ডাকা হত, এটি একটি কুখ্যাত জাতি-রাষ্ট্র গোষ্ঠী যা বিশ্বব্যাপী শিপিং, লজিস্টিকস, মিডিয়া, প্রযুক্তি এবং মোটরগাড়ি খাতে আক্রমণের জন্য পরিচিত।

২০২৪ সালের জুলাই মাসে, APT41 ইতালি, স্পেন, তাইওয়ান, থাইল্যান্ড, তুরস্ক এবং যুক্তরাজ্যের একাধিক সংস্থাকে লক্ষ্য করে ANTSWORD, BLUEBEAM, DUSTPAN এবং DUSTTRAP এর মতো ওয়েব শেল এবং ড্রপারের সংমিশ্রণ ব্যবহার করে। এর আগে, ২০২৪ সালের মার্চ মাসে, APT41-এর মধ্যে একটি উপগোষ্ঠী রিভাইভালস্টোন নামে পরিচিত একটি প্রচারণার অংশ হিসাবে উৎপাদন, উপকরণ এবং শক্তি ক্ষেত্রের জাপানি কোম্পানিগুলিকে লক্ষ্য করে।

একটি প্রতারণামূলক আক্রমণ শৃঙ্খল

সর্বশেষ নথিভুক্ত আক্রমণ শৃঙ্খলটি শুরু হয় স্পিয়ার-ফিশিং ইমেল দিয়ে যা ক্ষতিগ্রস্ত সরকারি সাইটে হোস্ট করা একটি জিপ আর্কাইভের লিঙ্ক সরবরাহ করে। জিপ ফাইলের ভিতরে একটি ডিরেক্টরি এবং একটি উইন্ডোজ শর্টকাট (LNK) রয়েছে যা একটি PDF ডকুমেন্টের ছদ্মবেশে রয়েছে। ডিরেক্টরিতে আর্থ্রোপডের সাতটি ছবি রয়েছে বলে মনে হচ্ছে ('1.jpg' থেকে '7.jpg')।

আক্রান্ত ব্যক্তি যখন LNK-তে ক্লিক করেন তখন সংক্রমণ শুরু হয়, যা একটি ডিকয় PDF তৈরি করে যেখানে দাবি করা হয় যে তালিকাভুক্ত প্রজাতিগুলি রপ্তানির জন্য ঘোষণা করা আবশ্যক। তবে, '6.jpg' এবং '7.jpg' হল ভুয়া ছবি। বাস্তবে, প্রথম ফাইলটি একটি এনক্রিপ্টেড পেলোড, যা দ্বিতীয় ফাইল দ্বারা ডিক্রিপ্ট করা হয়, একটি DLL যা LNK সক্রিয় করার সময় কার্যকর হয়। ম্যালওয়্যারটি সনাক্তকরণ এড়াতে মেমরি-অনলি পেলোড, এনক্রিপশন, কম্প্রেশন এবং নিয়ন্ত্রণ প্রবাহ অস্পষ্টতার মতো গোপন কৌশল ব্যবহার করে।

ম্যালওয়্যার স্থাপনের তিনটি ধাপ

ম্যালওয়্যারটিতে তিনটি স্বতন্ত্র উপাদান রয়েছে, প্রতিটি উপাদানই গুরুত্বপূর্ণ ভূমিকা পালন করে:

• প্লাসড্রপ: একটি DLL যা মেমরির পরবর্তী ধাপটি ডিক্রিপ্ট করে এবং কার্যকর করে।

কমান্ড এবং নিয়ন্ত্রণের জন্য গুগল ক্যালেন্ডার ব্যবহার করা

TOUGHPROGRESS আক্রমণকারী-নিয়ন্ত্রিত Google ক্যালেন্ডারের সাথে ইভেন্টগুলি পড়ার এবং লেখার জন্য ইন্টারঅ্যাক্ট করে, জিরো-মিনিট ইভেন্টগুলির সাথে হার্ড-কোডেড তারিখ (2023-05-30) সেট করে ইভেন্টের বিবরণে সংগ্রহ করা ডেটা সংরক্ষণ করে। 30 এবং 31 জুলাই, 2023 তারিখে ক্যালেন্ডার ইভেন্টগুলিতে স্থাপন করা এনক্রিপ্ট করা কমান্ডগুলি ম্যালওয়্যার দ্বারা পোল করা হয়, ডিক্রিপ্ট করা হয় এবং আপোস করা হোস্টে কার্যকর করা হয়। আক্রমণকারীদের পুনরুদ্ধারের জন্য ফলাফলগুলি ক্যালেন্ডারে ফেরত লেখা হয়।

গুগল পদক্ষেপ নেয়

গুগল প্রতারণামূলক গুগল ক্যালেন্ডার অপসারণ এবং সংশ্লিষ্ট ওয়ার্কস্পেস প্রকল্পগুলি বন্ধ করে হস্তক্ষেপ করেছে, কার্যকরভাবে এই ক্ষতিকারক অবকাঠামো ভেঙে দিয়েছে। ক্ষতিগ্রস্ত সংস্থাগুলিকে সতর্ক করা হয়েছে, তবে প্রচারণার সম্পূর্ণ ব্যাপ্তি এখনও অজানা।

APT41 এর ক্লাউড অপব্যবহারের ইতিহাস

এই ঘটনাটি প্রথমবার নয় যে APT41 গুগলের পরিষেবাগুলিকে ক্ষতিকারক উদ্দেশ্যে ব্যবহার করেছে। ২০২৩ সালের এপ্রিলে, APT41 তাইওয়ানের একটি মিডিয়া সংস্থাকে লক্ষ্য করে গুগল ড্রাইভে পাসওয়ার্ড-সুরক্ষিত ফাইলের মাধ্যমে গুগল কমান্ড অ্যান্ড কন্ট্রোল (GC2) টুল সরবরাহ করে। একবার স্থাপন করা হলে, GC2 আক্রমণকারীদের গুগল শিট থেকে কমান্ড পড়তে এবং গুগল ড্রাইভ ব্যবহার করে ডেটা এক্সফিল্টার করার অনুমতি দেয়।