TransferLoader Malware

নিরাপত্তা গবেষকরা RomCom RAT-এর পিছনে কুখ্যাত ব্যক্তি এবং TransferLoader নামক একটি ম্যালওয়্যার লোডারের মধ্যে সংযোগ খুঁজে বের করছেন। এই প্রচারণা, যা গুপ্তচরবৃত্তি এবং র‍্যানসমওয়্যার আক্রমণের সাথে জড়িত সত্তাগুলিকে লক্ষ্য করে তৈরি করেছে, অত্যাধুনিক কৌশল এবং ওভারল্যাপিং অবকাঠামোগুলিকে তুলে ধরে যা নিবিড় তদন্তের দাবি রাখে।

দুটি থ্রেট অ্যাক্টর ক্লাস্টার: TA829 এবং UNK_GreenSec

সাইবার নিরাপত্তা গবেষকরা ট্রান্সফারলোডার-সম্পর্কিত কার্যকলাপের জন্য দুটি প্রধান হুমকি গোষ্ঠীকে দায়ী করেছেন:

• TA829, RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, এবং Void Rabisu এর মতো উপনামেও ট্র্যাক করা হয়েছে।
• UNK_GreenSec, একটি কম পরিচিত ক্লাস্টার যা একই ধরণের কৌশলের সাথে সমান্তরালভাবে কাজ করে।

TA829 তার হাইব্রিড অপারেশনের জন্য বিশেষভাবে উল্লেখযোগ্য, যার মধ্যে গুপ্তচরবৃত্তি এবং আর্থিকভাবে উদ্দেশ্যপ্রণোদিত আক্রমণের সমন্বয় রয়েছে। রাশিয়া-সমর্থিত এই গোষ্ঠীটি পূর্বে মজিলা ফায়ারফক্স এবং মাইক্রোসফ্ট উইন্ডোজে জিরো-ডে দুর্বলতাগুলিকে কাজে লাগিয়ে RomCom RAT মোতায়েন করেছে, উচ্চ-মূল্যবান বিশ্বব্যাপী সংস্থাগুলিকে লক্ষ্য করে।

ট্রান্সফারলোডার: ম্যালওয়্যার প্রচারণায় উত্থান এবং ভূমিকা

ট্রান্সফারলোডার প্রথম সনাক্ত করা হয়েছিল ২০২৫ সালের ফেব্রুয়ারিতে হেলক্যাট র‍্যানসমওয়্যারের একটি পুনঃব্র্যান্ডেড সংস্করণ, মরফিয়াস র‍্যানসমওয়্যারের সাথে জড়িত একটি প্রচারণার সময়। ম্যালওয়্যারটি একটি নামহীন মার্কিন-ভিত্তিক আইন সংস্থার বিরুদ্ধে ব্যবহার করা হয়েছিল। রোমকমের বিপরীতে, ট্রান্সফারলোডার মূলত একটি গোপন ডেলিভারি প্রক্রিয়া হিসাবে কাজ করে, যা মেটাসপ্লয়েট এবং মরফিয়াসের মতো অতিরিক্ত ক্ষতিকারক পেলোড স্থাপন করতে সক্ষম করে।

ট্রান্সফারলোডারের লক্ষ্য সহজ: অচেনা থাকা এবং আরও ম্যালওয়্যার সরবরাহ করা।

REM প্রক্সি পরিকাঠামো কাজে লাগানো

TA829 এবং UNK_GreenSec উভয়ই REM প্রক্সি পরিষেবার উপর নির্ভর করে, যা প্রায়শই ক্ষতিগ্রস্থ MikroTik রাউটারগুলিতে হোস্ট করা হয়। এই প্রক্সিগুলি ক্ষতিকারক ট্র্যাফিক রুট করার জন্য ব্যবহৃত হয়, এর আসল উৎস লুকিয়ে রাখে। গ্রুপগুলি এই অবকাঠামো ব্যবহার করে:

• ফ্রিমেইল পরিষেবার মাধ্যমে ফিশিং ইমেল পাঠান (যেমন, Gmail, ukr.net)
• আপস্ট্রিম কার্যকলাপ লুকানোর জন্য ট্র্যাফিক রিলে করুন
• নতুন তৈরি এবং আপোস করা ইমেল অ্যাকাউন্ট উভয় ব্যবহার করে প্রচারণা শুরু করুন

গবেষকরা সন্দেহ করছেন যে ফিশিং বিতরণের জন্য ximajazehox333@gmail.com এবং hannahsilva1978@ukr.net এর মতো প্রেরকের ঠিকানাগুলি ব্যাপকভাবে তৈরি করে এমন ইমেল নির্মাতা সরঞ্জামগুলির ব্যবহার।

ফিশিং মেকানিক্স এবং পেলোড ডেলিভারি

উভয় ক্লাস্টারের মাধ্যমে প্রেরিত ফিশিং বার্তাগুলিতে প্রায়শই ইমেলের বডি বা পিডিএফ সংযুক্তিতে এম্বেড করা লিঙ্ক থাকে। এই লিঙ্কগুলিতে ক্লিক করা ভুক্তভোগীদের রিব্র্যান্ডলির মাধ্যমে পুনঃনির্দেশনার একটি শৃঙ্খলিত শিকার হতে হয়, যা শেষ পর্যন্ত জাল গুগল ড্রাইভ বা মাইক্রোসফ্ট ওয়ানড্রাইভ পৃষ্ঠাগুলিতে পৌঁছে যায়। এই পুনঃনির্দেশগুলিতে নিম্নলিখিত প্রক্রিয়াগুলি অন্তর্ভুক্ত থাকে:

• স্যান্ডবক্স পরিবেশ বাইপাস করুন
• আগ্রহের বাইরের সিস্টেমগুলিকে ফিল্টার করুন
• হুমকি গোষ্ঠীর উপর নির্ভর করে বিভিন্ন চূড়ান্ত পেলোড সরবরাহ করুন

ভিন্ন আক্রমণের পথ :

• UNK_GreenSec ট্রান্সফারলোডার স্থাপনের জন্য এই রুটটি ব্যবহার করে
• TA829 টার্গেটগুলিকে স্লিপস্ক্রিন ম্যালওয়্যারে পুনঃনির্দেশিত করে

ভাগ করা সরঞ্জাম এবং পরিকাঠামো

উভয় অভিনেতা গোষ্ঠী ওভারল্যাপিং টুলসেট এবং অবকাঠামোগত পছন্দগুলি প্রদর্শন করে:

• SSH টানেল স্থাপনের জন্য PUTTY এর PLINK ইউটিলিটির ব্যবহার
• IPFS (ইন্টারপ্ল্যানেটারি ফাইল সিস্টেম) পরিষেবাগুলিতে ক্ষতিকারক ইউটিলিটি হোস্ট করা
• ট্র্যাফিক ফিল্টারিংয়ের জন্য গতিশীল পিএইচপি-ভিত্তিক পুনঃনির্দেশনা এন্ডপয়েন্টগুলি ব্যবহার করা

এই ভাগ করা পদ্ধতিগুলি সম্ভাব্য সমন্বয় বা কার্যকর কৌশলগুলির পারস্পরিক গ্রহণের পরামর্শ দেয়।

সামাজিক প্রকৌশল থিম এবং বিতরণ কৌশল

ট্রান্সফারলোডার সম্পর্কিত প্রচারণাগুলি প্রায়শই চাকরির সুযোগের ইমেলের ছদ্মবেশে থাকে, ভুক্তভোগীদের পিডিএফ রিজিউমে নিয়ে যাওয়ার দাবি করে এমন লিঙ্ক দিয়ে প্রলুব্ধ করে। বাস্তবে, লিঙ্কটি আইপিএফএস ওয়েবশেয়ারে হোস্ট করা ট্রান্সফারলোডার ডাউনলোডের সূত্রপাত করে।

ট্রান্সফারলোডার অপারেশনের মূল প্রযুক্তিগত বৈশিষ্ট্যগুলি

এভিয়েডস ডিটেকশন - ঐতিহ্যবাহী প্রতিরক্ষাকে এড়িয়ে যাওয়ার জন্য পুনঃনির্দেশ, ফিল্টারিং এবং বিকেন্দ্রীভূত হোস্টিং ব্যবহার করে।

পেলোড ডেলিভারি - র‍্যানসমওয়্যার এবং রিমোট অ্যাক্সেস টুল সহ আরও বিপজ্জনক ম্যালওয়্যারের জন্য লোডার হিসেবে কাজ করে।

ডিফারেনশিয়েটেড টেকনিক - গতিশীল কন্টেন্ট ডেলিভারি সমর্থন করার জন্য অনন্য রিডাইরেক্ট স্ট্রাকচার (জাভাস্ক্রিপ্ট থেকে পিএইচপি এন্ডপয়েন্ট) ব্যবহার করে।

উপসংহার: ট্রান্সফারলোডার হুমকি বোঝা

ট্রান্সফারলোডার একটি গুরুত্বপূর্ণ হুমকি, কারণ এটি একটি গোপন লোডার যা উচ্চ-প্রভাবশালী আক্রমণ সক্ষম করে। UNK_GreenSec এবং TA829 উভয়ের দ্বারা এর ব্যবহার দেখায় যে কীভাবে সাইবার অপরাধী গোষ্ঠীগুলি সনাক্তকরণ এড়াতে এবং তাদের লক্ষ্য অর্জনের জন্য উদ্ভাবন, সরঞ্জাম ভাগ করে নেওয়া এবং বিকেন্দ্রীভূত অবকাঠামো শোষণ করে চলেছে।

ট্রান্সফারলোডার হুমকির সূচকগুলির মধ্যে রয়েছে:

• REM প্রক্সি পরিষেবার ব্যবহার
• চাকরির আবেদনপত্র বা জীবনবৃত্তান্তের জন্য ইমেল প্রলোভন
• রিব্র্যান্ডলি লিঙ্ক সম্বলিত পুনঃনির্দেশ চেইন
• IPFS-ভিত্তিক প্ল্যাটফর্মগুলিতে হোস্ট করা পেলোড

প্রতিষ্ঠানগুলিকে সতর্ক থাকতে হবে, শক্তিশালী ইমেল এবং ওয়েব ফিল্টারিং বাস্তবায়ন করতে হবে এবং এই কৌশলগুলির সাথে যুক্ত অস্বাভাবিক নেটওয়ার্ক আচরণের জন্য ক্রমাগত পর্যবেক্ষণ করতে হবে।