বিষাক্ত#হেল্পার ফিশিং ক্যাম্পেইন
VENOMOUS#HELPER নামে চিহ্নিত একটি অত্যাধুনিক ফিশিং ক্যাম্পেইন অন্তত এপ্রিল ২০২৫ থেকে সক্রিয় রয়েছে, যা বৈধ রিমোট মনিটরিং অ্যান্ড ম্যানেজমেন্ট (RMM) টুলের অপব্যবহারের মাধ্যমে একাধিক অ্যাটাক ভেক্টরকে লক্ষ্যবস্তু করছে। প্রধানত মার্কিন যুক্তরাষ্ট্রে অবস্থিত ৮০টিরও বেশি সংস্থা এর দ্বারা ক্ষতিগ্রস্ত হয়েছে। এই কার্যকলাপটি পূর্বে নথিভুক্ত STAC6405 নামে পরিচিত ক্লাস্টারগুলোর সাথে মিলে যায়। যদিও এর উৎস এখনও অনিশ্চিত, তবে এর কার্যপ্রণালী আর্থিকভাবে চালিত ইনিশিয়াল অ্যাক্সেস ব্রোকার (IAB) বা র্যানসমওয়্যারের পূর্বসূরি গোষ্ঠীগুলোর সাথে দৃঢ়ভাবে সামঞ্জস্যপূর্ণ, যারা পরবর্তী শোষণের জন্য নিজেদের ঘাঁটি স্থাপন করতে চাইছে।
সুচিপত্র
বিশ্বস্ত সরঞ্জামের উপর নির্ভর করে জীবনযাপন: বৈধ আরএমএম সফটওয়্যারের অপব্যবহার
সরাসরি ক্ষতিকারক সফটওয়্যার ব্যবহার করার পরিবর্তে, আক্রমণকারীরা SimpleHelp এবং ConnectWise ScreenConnect-এর মতো বৈধ টুলগুলোর কাস্টমাইজড সংস্করণের ওপর নির্ভর করে। যেহেতু এই অ্যাপ্লিকেশনগুলো সাধারণত এন্টারপ্রাইজ পরিবেশে ব্যবহৃত হয়, তাই এগুলোর উপস্থিতি প্রায়শই প্রচলিত নিরাপত্তা ব্যবস্থাগুলোকে এড়িয়ে যায় এবং কোনো সন্দেহ তৈরি করে না।
একই সাথে উভয় টুলের ব্যবহার একটি সুচিন্তিত কৌশল। দুটি রিমোট অ্যাক্সেস চ্যানেল স্থাপন করে আক্রমণকারীরা কার্যক্রমের স্থিতিশীলতা নিশ্চিত করে। যদি একটি সংযোগ শনাক্ত ও নিষ্ক্রিয় করা হয়, তবে দ্বিতীয় চ্যানেলটি সক্রিয় থাকে, যা কোনো বাধা ছাড়াই অননুমোদিত অ্যাক্সেস অব্যাহত রাখতে সাহায্য করে।
ফিশিং প্রবেশের পথ: একটি বিশ্বস্ত ছদ্মবেশের মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিং
এই আক্রমণ শৃঙ্খলটি মার্কিন সোশ্যাল সিকিউরিটি অ্যাডমিনিস্ট্রেশন (এসএসএ)-এর ছদ্মবেশে অত্যন্ত সতর্কতার সাথে তৈরি একটি ফিশিং ইমেলের মাধ্যমে শুরু হয়। বার্তাটিতে প্রাপকদের তাদের ইমেল ঠিকানা যাচাই করতে এবং একটি এমবেডেড লিঙ্কের মাধ্যমে এসএসএ-এর একটি কথিত বিবৃতি ডাউনলোড করতে অনুরোধ করা হয়।
বিশেষভাবে উল্লেখ্য যে, লিঙ্কটি ভুক্তভোগীদের একটি বৈধ কিন্তু হ্যাক হওয়া মেক্সিকান ব্যবসায়িক ওয়েবসাইটে নিয়ে যায়, যা স্প্যাম ফিল্টার এবং সুনাম-ভিত্তিক সুরক্ষা ব্যবস্থা এড়ানোর একটি ইচ্ছাকৃত প্রচেষ্টা প্রমাণ করে। সেখান থেকে, ভুক্তভোগীদের আক্রমণকারী-নিয়ন্ত্রিত দ্বিতীয় একটি ডোমেইনে পুনঃনির্দেশিত করা হয়, যেখানে একটি বৈধ নথির ছদ্মবেশে ক্ষতিকারক পেলোডটি হোস্ট করা থাকে।
পেলোড সরবরাহ ও স্থায়িত্ব: দীর্ঘমেয়াদী অ্যাক্সেসের প্রকৌশল
একবার ডাউনলোড হয়ে গেলে, উইন্ডোজ এক্সিকিউটেবল হিসেবে প্যাকেজ করা পেলোডটি সিম্পলহেল্প আরএমএম টুলটির ইনস্টলেশন শুরু করে। ধারণা করা হচ্ছে, আক্রমণকারীরা ক্ষতিকারক ফাইলটি স্থাপন করার জন্য হোস্টিং সার্ভারের একটি সিপ্যানেল অ্যাকাউন্ট হ্যাক করেছিল।
কার্যকর হওয়ার পর, ম্যালওয়্যারটি বিভিন্ন পদ্ধতির মাধ্যমে স্থায়িত্ব ও প্রতিরোধ ক্ষমতা প্রতিষ্ঠা করে:
- সেফ মোডে স্থায়িত্ব ক্ষমতা সহ উইন্ডোজ সার্ভিস হিসেবে ইনস্টলেশন
- একটি স্ব-নিরাময়কারী ওয়াচডগ স্থাপন করা হয়েছে যা পরিষেবাটি বন্ধ হয়ে গেলে স্বয়ংক্রিয়ভাবে পুনরায় চালু করে।
- প্রতি ৬৭ সেকেন্ডে root\SecurityCenter2 WMI নেমস্পেসের মাধ্যমে ইনস্টল করা নিরাপত্তা পণ্যগুলির নিয়মিত গণনা।
- প্রতি ২৩ সেকেন্ড অন্তর ব্যবহারকারীর কার্যকলাপের অবিচ্ছিন্ন পর্যবেক্ষণ
এই কৌশলগুলো নিশ্চিত করে যে ক্ষতিকারক উপস্থিতি সক্রিয়, অভিযোজনক্ষম এবং নির্মূল করা কঠিন থাকে।
বিশেষাধিকার বৃদ্ধি এবং পূর্ণ-সিস্টেম নিয়ন্ত্রণ
হ্যাক হওয়া সিস্টেমের উপর সম্পূর্ণ ইন্টারেক্টিভ নিয়ন্ত্রণ অর্জন করতে, সিম্পলহেল্প ক্লায়েন্ট AdjustTokenPrivileges-এর মাধ্যমে SeDebugPrivilege অর্জন করে প্রিভিলেজ বৃদ্ধি করে। এছাড়াও, সফটওয়্যারটির একটি বৈধ উপাদান, 'elev_win.exe'-কে SYSTEM-স্তরের অ্যাক্সেস পেতে কাজে লাগানো হয়।
এই উচ্চতর বিশেষাধিকার স্তর আক্রমণকারীদেরকে নিম্নলিখিত কাজগুলো করতে সক্ষম করে:
- স্ক্রিন কার্যকলাপ পর্যবেক্ষণ এবং ক্যাপচার করুন
- রিয়েল টাইমে কীস্ট্রোক ইনজেক্ট করুন
- ব্যবহারকারীর প্রেক্ষাপটে সংবেদনশীল সম্পদ অ্যাক্সেস করুন
এই ধরনের সক্ষমতা প্রচলিত নিরাপত্তা সতর্কতা সক্রিয় না করেই ভুক্তভোগীর পরিবেশের ওপর কার্যকরভাবে সম্পূর্ণ নিয়ন্ত্রণ প্রদান করে।
অতিরিক্ত অ্যাক্সেস কৌশল: ফলব্যাক চ্যানেল হিসেবে স্ক্রিনকানেক্ট
প্রাথমিক অ্যাক্সেস চ্যানেল স্থাপন করার পর, আক্রমণকারীরা একটি দ্বিতীয় রিমোট অ্যাক্সেস ব্যবস্থা হিসেবে ConnectWise ScreenConnect ব্যবহার করে। এর ফলে, প্রাথমিক SimpleHelp সংযোগটি শনাক্ত ও ব্লক করা হলেও সংযোগটি স্থায়ী থাকে।
একাধিক বৈধ সরঞ্জামের ব্যবহার স্থায়িত্ব ও গোপনীয়তার জন্য পরিকল্পিত একটি স্তরযুক্ত প্রবেশ কৌশলকে তুলে ধরে, যা শনাক্তকরণ এবং ঘটনার প্রতিক্রিয়া প্রচেষ্টাকে জটিল করে তোলে।
কার্যকরী প্রভাব: অলক্ষ্যে নীরব নিয়ন্ত্রণ
স্থাপন করা সিম্পলহেল্প সংস্করণ (5.0.1) দূরবর্তী প্রশাসনের জন্য শক্তিশালী কিছু বৈশিষ্ট্য প্রদান করে। একবার পরিবেশে সংযুক্ত হয়ে গেলে, আক্রমণকারীরা অবাধে এবং গোপনে কাজ করার ক্ষমতা অর্জন করে। আক্রান্ত সংস্থাটি ক্রমাগত শোষণের ঝুঁকিতে থাকে, কারণ আক্রমণকারীরা ইচ্ছামতো সিস্টেমে পুনরায় প্রবেশ করতে পারে।
পরিবেশটি কার্যকরভাবে একটি নিয়ন্ত্রিত সম্পদে পরিণত হয়, যেখানে আক্রমণকারীরা নীরবে কমান্ড কার্যকর করতে, উভয় দিকে ফাইল স্থানান্তর করতে এবং নেটওয়ার্ক জুড়ে চলাচল করতে পারে। যেহেতু সমস্ত কার্যকলাপ যুক্তরাজ্যের একটি স্বনামধন্য বিক্রেতার তৈরি বৈধভাবে স্বাক্ষরিত সফটওয়্যার থেকে উদ্ভূত বলে মনে হয়, তাই প্রচলিত অ্যান্টিভাইরাস এবং সিগনেচার-ভিত্তিক প্রতিরক্ষা ব্যবস্থা প্রায়শই এই অনুপ্রবেশ শনাক্ত করতে ব্যর্থ হয়।
উপসংহার: আধুনিক অনুপ্রবেশের একটি রূপরেখা
VENOMOUS#HELPER ক্ষতিকর উদ্দেশ্যে বৈধ প্রশাসনিক সরঞ্জাম ব্যবহারের ক্রমবর্ধমান প্রবণতার একটি উৎকৃষ্ট উদাহরণ। সোশ্যাল ইঞ্জিনিয়ারিং, বিশ্বস্ত সফটওয়্যারের অপব্যবহার এবং অপ্রয়োজনীয় অ্যাক্সেস পদ্ধতির সমন্বয়ে এই ক্যাম্পেইনটি স্থায়িত্ব, গোপনীয়তা এবং পরিচালনগত নমনীয়তা অর্জন করে। এই পদ্ধতিটি প্রাতিষ্ঠানিক পরিবেশে আচরণগত পর্যবেক্ষণ, জিরো-ট্রাস্ট নীতি এবং বৈধ সরঞ্জাম ব্যবহারের উপর কঠোর নজরদারির জরুরি প্রয়োজনীয়তাকে তুলে ধরে।
