WailingCrab ম্যালওয়্যার
Infosec গবেষকরা সতর্ক করছেন যে ডেলিভারি এবং শিপিং থিম সহ ইমেলগুলিকে WailingCrab নামক একটি অত্যাধুনিক ম্যালওয়্যার লোডার বিতরণ করার উপায় হিসাবে নিযুক্ত করা হচ্ছে৷ এই ম্যালওয়্যারে একটি লোডার, ইনজেক্টর, ডাউনলোডার এবং ব্যাকডোর সহ বেশ কয়েকটি উপাদান রয়েছে৷ কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের সাথে সফল যোগাযোগ প্রায়শই ম্যালওয়্যারের পরবর্তী পর্যায়ে আনার জন্য প্রয়োজন হয়।
হুমকি অভিনেতা সক্রিয়ভাবে WailingCrab ম্যালওয়্যার বিকাশ করছে
গবেষকরা প্রাথমিকভাবে ওয়েলিংক্র্যাবকে 2023 সালের আগস্টে ইতালীয় সংস্থার বিরুদ্ধে আক্রমণ অভিযানে জড়িত থাকার পর শনাক্ত করেছিলেন। এই ম্যালওয়্যারটি উরস্নিফ ট্রোজান (গোজি নামেও পরিচিত) মোতায়েন করার জন্য একটি নালী হিসাবে কাজ করে। WailingCrab এর পিছনে মাস্টারমাইন্ড হল হুমকি অভিনেতা TA544, বাঁশ স্পাইডার এবং জিউস পান্ডা হিসাবেও স্বীকৃত।
এর অপারেটরদের দ্বারা ক্রমাগত রক্ষণাবেক্ষণ করা, ম্যালওয়্যারটি স্টিলথের জন্য ডিজাইন করা বৈশিষ্ট্যগুলি প্রদর্শন করে, এটি বিশ্লেষণের প্রচেষ্টাকে আরও ভালভাবে ব্যর্থ করতে সক্ষম করে। এর গোপন প্রকৃতিকে উন্নত করতে, ম্যালওয়্যারটি বৈধ কিন্তু আপস করা ওয়েবসাইটের মাধ্যমে C2 যোগাযোগ শুরু করে।
উপরন্তু, ম্যালওয়্যারের উপাদানগুলি ডিসকর্ডের মতো বহুল ব্যবহৃত প্ল্যাটফর্মে সংরক্ষণ করা হয়। উল্লেখযোগ্যভাবে, 2023 সালের মাঝামাঝি থেকে ম্যালওয়্যারের আচরণে একটি উল্লেখযোগ্য পরিবর্তনের মধ্যে C2 যোগাযোগের জন্য ছোট সেন্সর এবং মোবাইল ডিভাইসগুলির জন্য উদ্দিষ্ট একটি লাইটওয়েট মেসেজিং প্রোটোকল MQTT গ্রহণ করা জড়িত। এই প্রোটোকলটি হুমকির ল্যান্ডস্কেপে তুলনামূলকভাবে অস্বাভাবিক, এর ব্যবহারের মাত্র কয়েকটি উদাহরণ রয়েছে, যেমনটি পূর্বে টিজি এবং এমকিউএসটিটাং-এর মতো ক্ষেত্রে দেখা গেছে।
ওয়েলিংক্র্যাব ম্যালওয়্যার ডেলিভারির জন্য অ্যাটাক চেইন
আক্রমণের ক্রমটি পিডিএফ সংযুক্তি সমন্বিত ইমেলগুলির সাথে শুরু হয় যা URL গুলিকে আশ্রয় করে৷ এই URLগুলিতে ক্লিক করা একটি জাভাস্ক্রিপ্ট ফাইলের ডাউনলোডকে ট্রিগার করে যা ডিসকর্ডে হোস্ট করা WailingCrab লোডার আনয়ন এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে৷
লোডারের ভূমিকা হল পরবর্তী পর্যায়ে শুরু করা, একটি শেলকোড চালু করা যা একটি ইনজেক্টর মডিউল হিসাবে কাজ করে। এটি, ঘুরে, চূড়ান্ত ব্যাকডোর স্থাপনের জন্য দায়ী একটি ডাউনলোডারকে কার্যকর করতে ট্রিগার করে। আগের পুনরাবৃত্তিতে, এই উপাদানটি সরাসরি ব্যাকডোর ডাউনলোড করবে, ডিসকর্ড সিডিএন-এ সংযুক্তি হিসাবে হোস্ট করা হবে।
WailingCrab-এর সাম্প্রতিকতম সংস্করণটি AES-এর সাথে ব্যাকডোর কম্পোনেন্ট এনক্রিপ্ট করে। ব্যাকডোর ডাউনলোড করার পরিবর্তে, এটি ব্যাকডোর ডিক্রিপ্ট করার জন্য একটি ডিক্রিপশন কী অর্জন করতে তার C2 সার্ভারে পৌঁছায়। ব্যাকডোর, ম্যালওয়্যারের মূল হিসাবে কাজ করে, সংক্রামিত হোস্টের উপর অধ্যবসায় স্থাপন করে এবং অতিরিক্ত পেলোড পাওয়ার জন্য MQTT প্রোটোকলের মাধ্যমে C2 সার্ভারের সাথে যোগাযোগ করে।
অধিকন্তু, ব্যাকডোরের সর্বশেষ রূপগুলি MQTT এর মাধ্যমে সরাসরি C2 থেকে শেলকোড-ভিত্তিক পেলোডের পক্ষে ডিসকর্ড-ভিত্তিক ডাউনলোড পথ পরিত্যাগ করে। WailingCrab দ্বারা MQTT প্রোটোকল ব্যবহার করার এই স্থানান্তরটি স্টিলথ বাড়ানো এবং সনাক্তকরণ এড়ানোর উপর একটি ইচ্ছাকৃত ফোকাস নির্দেশ করে। ওয়েলিংক্র্যাবের নতুন সংস্করণগুলি পেলোড পুনরুদ্ধারের জন্য ডিসকর্ডের উপর নির্ভরতা দূর করে, এর স্টিলথ ক্ষমতাকে আরও বাড়িয়ে তোলে।
