VOID#GEIST ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা একটি অত্যাধুনিক মাল্টি-স্টেজ ম্যালওয়্যার প্রচারণা আবিষ্কার করেছেন যা এনক্রিপ্টেড রিমোট অ্যাক্সেস ট্রোজান (RAT) পেলোড সরবরাহ করার জন্য ব্যাচ স্ক্রিপ্টের উপর নির্ভর করে। VOID#GEIST নামে চিহ্নিত এই প্রচারণাটি XWorm, AsyncRAT এবং Xeno RAT সহ বেশ কয়েকটি RAT পরিবার মোতায়েন করে।

আক্রমণ শৃঙ্খলটি একটি অস্পষ্ট ব্যাচ স্ক্রিপ্ট ব্যবহার করে যা সনাক্তকরণ এড়াতে পরিকল্পিত ক্রিয়াকলাপের একটি ক্রম শুরু করে। এই ক্রিয়াগুলির মধ্যে রয়েছে একটি অতিরিক্ত ব্যাচ স্ক্রিপ্ট চালু করা, একটি বৈধ এমবেডেড পাইথন রানটাইম পরিবেশ স্থাপন করা এবং এনক্রিপ্ট করা শেলকোড পেলোডগুলি ডিক্রিপ্ট করা। শেলকোডটি Early Bird Asynchronous Procedure Call (APC) ইনজেকশন নামে পরিচিত একটি কৌশল ব্যবহার করে উইন্ডোজ প্রক্রিয়া explorer.exe এর পৃথক উদাহরণে ইনজেক্ট করার পরে সরাসরি মেমরিতে কার্যকর করা হয়।

স্ক্রিপ্ট-চালিত ম্যালওয়্যার ডেলিভারি: একটি আধুনিক হুমকি মডেল

আধুনিক হুমকিদাতারা ক্রমবর্ধমানভাবে ঐতিহ্যবাহী স্বতন্ত্র এক্সিকিউটেবল ম্যালওয়্যার ত্যাগ করে স্তরযুক্ত, স্ক্রিপ্ট-ভিত্তিক ডেলিভারি ফ্রেমওয়ার্কের পক্ষে যা বৈধ ব্যবহারকারীর আচরণের অনুকরণ করে। প্রচলিত পোর্টেবল এক্সিকিউটেবল (PE) বাইনারি স্থাপনের পরিবর্তে, আক্রমণকারীরা বহু-উপাদান পাইপলাইন তৈরি করে যা বেশ কয়েকটি বৈধ প্রযুক্তি এবং স্ক্রিপ্টিং পরিবেশকে একত্রিত করে।

এই কাঠামোর মধ্যে ব্যবহৃত সাধারণ উপাদানগুলির মধ্যে রয়েছে:

• সংক্রমণের ক্রম সাজানোর জন্য ব্যাচ স্ক্রিপ্ট ব্যবহার করা হত।
• পাওয়ারশেল কমান্ড যা গোপনে পেলোড স্টেজিং সহজতর করে।
• এমবেডেড বৈধ রানটাইম যা সিস্টেম জুড়ে বহনযোগ্যতা নিশ্চিত করে।
• স্থিরতা এবং নিয়ন্ত্রণ বজায় রাখার জন্য কাঁচা শেলকোড সরাসরি মেমরিতে কার্যকর করা হয়।

এই ফাইলবিহীন এক্সিকিউশন পদ্ধতি ডিস্ক-ভিত্তিক সনাক্তকরণের সুযোগ উল্লেখযোগ্যভাবে হ্রাস করে। স্বাধীনভাবে পরীক্ষা করা হলে প্রতিটি পর্যায় তুলনামূলকভাবে ক্ষতিকারক বলে মনে হয় এবং প্রায়শই নিয়মিত প্রশাসনিক কার্যকলাপের সাথে সাদৃশ্যপূর্ণ, যা হুমকিদাতাদের তাৎক্ষণিক নিরাপত্তা সতর্কতা না বাড়িয়েই ঝুঁকিপূর্ণ পরিবেশের মধ্যে কাজ করার অনুমতি দেয়।

ফিশিং এবং ক্লাউডফ্লেয়ার অবকাঠামোর মাধ্যমে প্রাথমিক অ্যাক্সেস

আক্রমণের শুরুতে ফিশিং ইমেলের মাধ্যমে দূষিত ব্যাচ স্ক্রিপ্ট পাঠানো হয়। স্ক্রিপ্টটি TryCloudflare ডোমেনে হোস্ট করা অবকাঠামো থেকে পুনরুদ্ধার করা হয়। একবার কার্যকর করা হলে, স্ক্রিপ্টটি ইচ্ছাকৃতভাবে বিশেষাধিকার বৃদ্ধির প্রচেষ্টা এড়ায় এবং পরিবর্তে বর্তমানে লগ-ইন করা ব্যবহারকারীর অনুমতি সীমানার মধ্যে কঠোরভাবে কাজ করে।

এই কৌশলটি ম্যালওয়্যারকে রুটিন ব্যবহারকারী-স্তরের ক্রিয়াকলাপগুলিতে মিশে যাওয়ার সময় তার প্রাথমিক অবস্থান স্থাপন করতে দেয়। উন্নত সুবিধার প্রয়োজন এমন পদক্ষেপগুলি এড়িয়ে আক্রমণটি সুরক্ষা সতর্কতা বা প্রশাসনিক প্রম্পট ট্রিগার করার সম্ভাবনা হ্রাস করে।

ভিজ্যুয়াল ডিস্ট্রাকশন এবং স্টিলথ এক্সিকিউশন কৌশল

কার্যকর করার পর, ম্যালওয়্যারের প্রথম ধাপটি ভুক্তভোগীর মনোযোগ নষ্ট করার জন্য একটি ডিকয় ডকুমেন্ট চালু করে। পিডিএফ আকারে উপস্থাপিত আর্থিক নথি বা চালান প্রদর্শনের জন্য গুগল ক্রোম পূর্ণ-স্ক্রিন মোডে খোলা হয়। ব্যবহারকারী যখন ডকুমেন্টের উপর মনোযোগ দেন, তখন পটভূমিতে দূষিত কার্যকলাপ চলতে থাকে।

একই সাথে, লুকানো এক্সিকিউশন প্যারামিটার সহ মূল ব্যাচ স্ক্রিপ্টটি পুনরায় চালু করার জন্য একটি PowerShell কমান্ড কার্যকর করা হয়। -WindowStyle লুকানো প্যারামিটার ব্যবহার একটি দৃশ্যমান কনসোল উইন্ডো প্রদর্শিত হতে বাধা দেয়, নিশ্চিত করে যে ক্ষতিকারক কার্যকলাপ ব্যবহারকারীর কাছ থেকে গোপন থাকে।

ব্যবহারকারী-স্তরের স্টার্টআপ এক্সিকিউশনের মাধ্যমে স্থায়িত্ব

সিস্টেম রিবুট করার পরেও স্থায়িত্ব বজায় রাখার জন্য, ম্যালওয়্যারটি উইন্ডোজ ব্যবহারকারীর স্টার্টআপ ডিরেক্টরিতে একটি সহায়ক ব্যাচ স্ক্রিপ্ট স্থাপন করে। এই অবস্থানটি নিশ্চিত করে যে যখনই ভুক্তভোগী সিস্টেমে লগ ইন করেন তখন স্ক্রিপ্টটি স্বয়ংক্রিয়ভাবে কার্যকর হয়।

এই স্থায়িত্ব প্রক্রিয়াটি ইচ্ছাকৃতভাবে সূক্ষ্ম। সিস্টেম রেজিস্ট্রি কী পরিবর্তন করা, নির্ধারিত কাজ তৈরি করা বা পরিষেবা ইনস্টল করার মতো আরও হস্তক্ষেপমূলক কৌশল ব্যবহার করার পরিবর্তে, ম্যালওয়্যারটি কেবলমাত্র স্ট্যান্ডার্ড ব্যবহারকারী-স্তরের স্টার্টআপ আচরণের উপর নির্ভর করে। যেহেতু পদ্ধতিটি সম্পূর্ণরূপে বর্তমান ব্যবহারকারীর বিশেষাধিকারের প্রেক্ষাপটে কাজ করে, এটি বিশেষাধিকার বৃদ্ধির প্রম্পটগুলিকে ট্রিগার করা এড়ায় এবং রেজিস্ট্রি পর্যবেক্ষণ সরঞ্জাম দ্বারা সনাক্তকরণের সম্ভাবনা হ্রাস করে।

পেলোড পুনরুদ্ধার এবং ডিক্রিপশন ফ্রেমওয়ার্ক

সংক্রমণ শৃঙ্খলের পরবর্তী পর্যায়ে, ম্যালওয়্যারটি জিপ আর্কাইভে প্যাকেজ করা অতিরিক্ত পেলোড উপাদানগুলি পুনরুদ্ধার করার জন্য একটি TryCloudflare ডোমেনের সাথে যোগাযোগ করে। এই আর্কাইভে চূড়ান্ত ম্যালওয়্যার পেলোডগুলি ডিক্রিপ্ট এবং কার্যকর করার জন্য প্রয়োজনীয় মডিউলগুলি থাকে।

ডাউনলোড করা আর্কাইভে সাধারণত নিম্নলিখিত উপাদানগুলি থাকে:

• runn.py – একটি পাইথন-ভিত্তিক লোডার যা মেমোরিতে এনক্রিপ্ট করা শেলকোড মডিউল ডিক্রিপ্ট এবং ইনজেক্ট করার জন্য দায়ী।
• new.bin – XWorm-এর সাথে যুক্ত এনক্রিপ্ট করা শেলকোড পেলোড
• xn.bin – Xeno RAT এর সাথে সম্পর্কিত এনক্রিপ্ট করা শেলকোড পেলোড
• pul.bin – AsyncRAT-এর সাথে সম্পর্কিত এনক্রিপ্ট করা শেলকোড পেলোড
• a.json, n.json, এবং p.json – রানটাইম চলাকালীন গতিশীলভাবে শেলকোড পেলোড ডিক্রিপ্ট করার জন্য পাইথন লোডার দ্বারা ব্যবহৃত কী ফাইল

এই মডুলার ডিজাইন আক্রমণকারীদের স্বাধীনভাবে বিভিন্ন পেলোড মঞ্চস্থ করতে এবং শুধুমাত্র প্রয়োজনের সময় সক্রিয় করতে সক্ষম করে।

পোর্টেবিলিটি এবং স্টিলথের জন্য এমবেডেড পাইথন রানটাইম

একবার আর্কাইভটি বের করে ফেলা হলে, ম্যালওয়্যারটি python.org থেকে সরাসরি প্রাপ্ত একটি বৈধ এমবেডেড পাইথন রানটাইম স্থাপন করে। একটি বৈধ ইন্টারপ্রেটার এম্বেড করার ফলে আপোস করা সিস্টেমে ইতিমধ্যেই বিদ্যমান যেকোনো পাইথন ইনস্টলেশনের উপর নির্ভরতা দূর হয়।

আক্রমণকারীর দৃষ্টিকোণ থেকে, এই পদক্ষেপটি বেশ কিছু কৌশলগত সুবিধা প্রদান করে। ম্যালওয়্যারটি একটি স্বয়ংসম্পূর্ণ কার্যকরী পরিবেশে পরিণত হয় যা বাহ্যিক নির্ভরতার প্রয়োজন ছাড়াই পেলোডগুলি ডিক্রিপ্ট এবং ইনজেক্ট করতে সক্ষম। এটি বিভিন্ন সিস্টেমে বহনযোগ্যতা উন্নত করে, নির্ভরযোগ্যতা বৃদ্ধি করে এবং বৈধ সফ্টওয়্যার উপাদান ব্যবহার করে অপারেশনাল স্টিলথ-এ অবদান রাখে।

একাধিক RAT পেলোডের ইন-মেমোরি এক্সিকিউশন

এরপর এমবেডেড পাইথন রানটাইম ব্যবহার করে runn.py লোডার স্ক্রিপ্টটি চালানো হয়। লোডারটি XWorm-এর সাথে সম্পর্কিত শেলকোডটি ডিক্রিপ্ট করে এবং Early Bird APC ইনজেকশন ব্যবহার করে explorer.exe-এর একটি চলমান ইনস্ট্যান্সে এটি ইনজেক্ট করে।

Xeno RAT স্থাপনের জন্য, ম্যালওয়্যারটি AppInstallerPythonRedirector.exe নামক একটি বৈধ মাইক্রোসফ্ট বাইনারি ব্যবহার করে, যা পাইথনকে আহ্বান করতে এবং প্রয়োজনীয় উপাদানগুলি কার্যকর করতে ব্যবহৃত হয়। একই ইনজেকশন কৌশলটি পরবর্তীতে AsyncRAT স্থাপনের জন্য পুনরায় ব্যবহার করা হয়, যা নিশ্চিত করে যে সমস্ত পেলোডগুলি সম্পূর্ণরূপে মেমরিতে কার্যকর করা হয় এবং ঐতিহ্যবাহী এক্সিকিউটেবল আর্টিফ্যাক্টগুলি ডিস্কে না রেখে।

কমান্ড-এন্ড-কন্ট্রোল বীকনিং এবং মডুলার স্থাপত্য

আক্রমণের চূড়ান্ত পর্যায়ে ট্রাইক্লাউডফ্লেয়ারে হোস্ট করা আক্রমণকারী-নিয়ন্ত্রিত কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামোতে একটি ন্যূনতম HTTP বীকন পাঠানো হয়। এই বীকন নিশ্চিত করে যে সিস্টেমটি সফলভাবে আপস করা হয়েছে এবং আরও নির্দেশাবলী গ্রহণের জন্য প্রস্তুত।

যদিও প্রচারণার নির্দিষ্ট লক্ষ্যগুলি অজানা রয়ে গেছে, সংক্রমণ শৃঙ্খলটি একটি অত্যন্ত মডুলার স্থাপত্য প্রদর্শন করে। একটি বৃহৎ ম্যালওয়্যার পেলোড স্থাপনের পরিবর্তে, আক্রমণকারীরা একাধিক পর্যায়ে ক্রমবর্ধমানভাবে উপাদানগুলি প্রবর্তন করে। এই নকশাটি কার্যক্ষম নমনীয়তা এবং স্থিতিস্থাপকতা উন্নত করে।

সনাক্তকরণের দৃষ্টিকোণ থেকে, প্রচারাভিযান জুড়ে একটি উল্লেখযোগ্য আচরণগত সূচক দেখা যায়: অল্প সময়ের ব্যবধানে explorer.exe-তে বারবার প্রক্রিয়া ইনজেকশন। এই প্যাটার্ন আক্রমণের জীবনচক্রের বিভিন্ন পর্যায়ে সন্দেহজনক কার্যকলাপ সম্পর্কিত করার চেষ্টাকারী ডিফেন্ডারদের জন্য একটি শক্তিশালী সংকেত হিসেবে কাজ করতে পারে।