Webworm APT
সাইবার নিরাপত্তা গবেষকরা ওয়েবওয়ার্ম নামে পরিচিত চীন-সমর্থিত হুমকি গোষ্ঠীর সাথে যুক্ত নতুন করে শুরু হওয়া কার্যকলাপ শনাক্ত করেছেন, যেখানে কমান্ড-অ্যান্ড-কন্ট্রোল (C2) যোগাযোগের জন্য ডিসকর্ড এবং মাইক্রোসফট গ্রাফ এপিআই-কে অপব্যবহার করে এমন অত্যাধুনিক কাস্টম ব্যাকডোর স্থাপন করা হয়েছে। এই সাম্প্রতিক কার্যকলাপ গোষ্ঠীটির কর্মপরিচালনা কৌশলের একটি বৃহত্তর বিবর্তনকে প্রতিফলিত করে, যেখানে শনাক্তকরণ এড়ানোর জন্য গোপনীয়তা, প্রক্সি-ভিত্তিক পরিকাঠামো এবং বৈধ প্ল্যাটফর্মের অপব্যবহারের উপর জোর দেওয়া হয়েছে।
সুচিপত্র
গুরুত্বপূর্ণ খাতগুলোকে লক্ষ্য করে একটি ক্রমাগত হুমকি
২০২২ সালের সেপ্টেম্বরে প্রথমবারের মতো জনসমক্ষে নথিভুক্ত হওয়া ওয়েবওয়ার্ম অন্তত সেই বছর থেকেই সক্রিয় ছিল বলে ধারণা করা হয়। এই গোষ্ঠীটি তথ্যপ্রযুক্তি পরিষেবা, মহাকাশ এবং বিদ্যুৎ খাতের মতো ক্ষেত্রে কর্মরত সরকারি প্রতিষ্ঠান ও বাণিজ্যিক সংস্থাগুলোকে ধারাবাহিকভাবে লক্ষ্যবস্তু করেছে। রাশিয়া, জর্জিয়া, মঙ্গোলিয়া এবং বেশ কয়েকটি এশীয় দেশ জুড়ে এর শিকারদের শনাক্ত করা হয়েছে।
এই হুমকি সৃষ্টিকারী গোষ্ঠীটি ঐতিহাসিকভাবে ট্রোকিলাস র্যাট (Trochilus RAT), ঘোস্ট র্যাট (Gh0st RAT), এবং ৯০০২ র্যাট (9002 RAT)-এর মতো রিমোট অ্যাক্সেস ট্রোজানগুলোর ওপর নির্ভর করে এসেছে, যা হাইড্রাক (Hydraq) বা ম্যাকর্যাট (McRat) নামেও পরিচিত। নিরাপত্তা বিশ্লেষকরা এই গোষ্ঠীর কার্যকলাপকে ফিশমঙ্গার (FishMonger), সিক্সলিটলমাঙ্কিস (SixLittleMonkeys), এবং স্পেস পাইরেটস (Space Pirates)-সহ চীনের সাথে যুক্ত বেশ কয়েকটি ক্লাস্টারের সাথেও যুক্ত করেছেন। এদের মধ্যে, সিক্সলিটলমাঙ্কিস মধ্য এশিয়া, বেলারুশ, রাশিয়া এবং মঙ্গোলিয়ার বিভিন্ন প্রতিষ্ঠানের বিরুদ্ধে ঘোস্ট র্যাট এবং মাইক্রোসিন (Mikroceen) ম্যালওয়্যার পরিবার ব্যবহার করার জন্য বিশেষভাবে মনোযোগ আকর্ষণ করে।
আরও গোপনীয় কার্যক্রমের দিকে পরিবর্তন
গত দুই বছরে, ওয়েবওয়ার্ম ধীরে ধীরে প্রচলিত ম্যালওয়্যার ফ্রেমওয়ার্ক থেকে সরে এসে গোপনীয়তা-ভিত্তিক প্রক্সি ইউটিলিটি এবং আধা-বৈধ নেটওয়ার্কিং টুলের দিকে ঝুঁকেছে। এই পরিবর্তনটি শনাক্ত হওয়ার ঝুঁকি কমানোর পাশাপাশি আক্রান্ত পরিবেশে নিরবচ্ছিন্ন প্রবেশাধিকার বজায় রাখার উদ্দেশ্যেই করা হয়েছে বলে মনে হয়।
২০২৫ সালে, দলটি তার অস্ত্রাগারে নতুন শনাক্ত করা দুটি ব্যাকডোর যুক্ত করেছে:
EchoCreep, যা কমান্ড-অ্যান্ড-কন্ট্রোল অপারেশনের জন্য ডিসকর্ড ব্যবহার করে এবং cmd.exe-এর মাধ্যমে রিমোট কমান্ড এক্সিকিউশনের পাশাপাশি ফাইল ট্রান্সফারও সমর্থন করে।
গ্রাফওয়ার্ম হলো একটি আরও উন্নত ইমপ্লান্ট যা মাইক্রোসফট গ্রাফ এপিআই (Microsoft Graph API)-এর মাধ্যমে যোগাযোগ করে এবং অপারেটরদের নতুন cmd.exe সেশন তৈরি করতে, প্রসেস চালু করতে, মাইক্রোসফট ওয়ানড্রাইভ (Microsoft OneDrive)-এর মাধ্যমে ফাইল আপলোড ও ডাউনলোড করতে এবং অপারেটরের নির্দেশ পেলে নিজের কার্যক্রম বন্ধ করে দিতে সক্ষম করে।
গবেষকরা আরও দেখেছেন যে, ম্যালওয়্যার পেলোড এবং সফটইথার ভিপিএন-এর মতো ইউটিলিটি হোস্ট করার জন্য ওয়ার্ডপ্রেস ফর্কের ছদ্মবেশে একটি গিটহাব রিপোজিটরি ব্যবহার করা হচ্ছে। এই কৌশলটি ক্ষতিকারক পরিকাঠামোকে বৈধ উন্নয়ন কার্যক্রমের সাথে মিশে যেতে সাহায্য করে, যা শনাক্তকরণের প্রচেষ্টাকে আরও জটিল করে তোলে। সফটইথার ভিপিএন-এর ব্যবহারটি একাধিক চীনা সাইবার-গুপ্তচর গোষ্ঠীর দ্বারা পূর্বে গৃহীত পদ্ধতির সাথে সামঞ্জস্যপূর্ণ।
ভৌগোলিক পরিধি এবং প্রক্সি অবকাঠামো সম্প্রসারণ
ওয়েবওয়ার্মের সাম্প্রতিক প্রচারণাগুলো ইউরোপীয় লক্ষ্যবস্তুর ওপর ক্রমবর্ধমান মনোযোগের প্রমাণ দেয়, যার মধ্যে বেলজিয়াম, ইতালি, সার্বিয়া, পোল্যান্ড ও স্পেনের সরকারি সংস্থা এবং দক্ষিণ আফ্রিকায় অবস্থিত একটি বিশ্ববিদ্যালয়ও রয়েছে।
একই সময়ে, হুমকি সৃষ্টিকারী পক্ষটি ট্রোকিলাস এবং ৯০০২ আরএটি-এর মতো পুরোনো ম্যালওয়্যার পরিবারগুলোকে পর্যায়ক্রমে বাদ দিয়ে কাস্টম প্রক্সি ফ্রেমওয়ার্ক এবং টানেলিং টুল ব্যবহার শুরু করেছে বলে মনে হচ্ছে। এই গোষ্ঠীর সাথে যুক্ত অন্যান্য ইউটিলিটিগুলোর মধ্যে রয়েছে iox, WormFrp, ChainWorm, SmuxProxy এবং WormSocket। তদন্তকারীরা দেখেছেন যে WormFrp একটি হ্যাক হওয়া অ্যামাজন এস৩ বাকেট থেকে কনফিগারেশন ডেটা সংগ্রহ করে।
এই প্রক্সি টুলগুলো যোগাযোগ এনক্রিপ্ট করতে এবং অভ্যন্তরীণ ও বাহ্যিক সিস্টেম জুড়ে শৃঙ্খলিত সংযোগ সমর্থন করার জন্য তৈরি করা হয়েছে, যা আক্রমণকারীদেরকে তাদের কার্যক্রম গোপন রেখে একাধিক হোস্টের মাধ্যমে ট্র্যাফিক রাউট করতে সক্ষম করে। বিশ্লেষকদের মতে, আক্রমণকারীদের গতিবিধি আরও অস্পষ্ট করতে এবং স্থায়িত্ব বাড়াতে এই টুলগুলো প্রায়শই সফটইথার ভিপিএন-এর সাথে একত্রিত করা হয়।
ডিসকর্ড-ভিত্তিক কমান্ড কার্যকলাপ অপারেশনাল পরিধি প্রকাশ করে
EchoCreep দ্বারা ব্যবহৃত ডিসকর্ড পরিকাঠামোর বিশ্লেষণে দেখা গেছে যে, কমান্ড ট্র্যাফিক অন্তত ২১শে মার্চ, ২০২৪ পর্যন্ত পুরনো। গবেষকরা এই ক্ষতিকর ডিসকর্ড-ভিত্তিক C2 পরিবেশের মাধ্যমে প্রেরিত ৪৩৩টি বার্তা শনাক্ত করেছেন, যা ৫০ জনেরও বেশি স্বতন্ত্র লক্ষ্যবস্তুকে প্রভাবিত করেছে।
যদিও প্রবেশের সঠিক প্রাথমিক পদ্ধতিটি অজানা রয়ে গেছে, তদন্তকারীরা আবিষ্কার করেছেন যে ওয়েবওয়ার্ম অপারেটররা সক্রিয়ভাবে ডিরসার্চ (dirsearch) এবং নিউক্লিয়াই (nuclei)-এর মতো ওপেন-সোর্স রিকনসান্স ও এক্সপ্লয়টেশন টুল ব্যবহার করে। এই ইউটিলিটিগুলো ওয়েব সার্ভার ডিরেক্টরিতে ব্রুট-ফোর্স আক্রমণ করতে, উন্মুক্ত ফাইল শনাক্ত করতে এবং শোষণযোগ্য দুর্বলতার জন্য স্ক্যান করতে ব্যবহৃত হয়।
ওয়েবওয়ার্মের সাথে মহাকাশ জলদস্যুদের সংযোগের দুর্বল প্রমাণ
কার্যপ্রণালীতে কিছু সাদৃশ্য থাকা সত্ত্বেও, গবেষকরা সতর্ক করেছেন যে ওয়েবওয়ার্ম এবং স্পেস পাইরেটস গোষ্ঠীর মধ্যে সংযোগটি এখনও অমীমাংসিত। বর্তমান মিল মূলত সর্বজনীনভাবে উপলব্ধ RAT-এর ব্যবহার এবং একই ধরনের সরঞ্জাম ব্যবহারের মধ্যেই সীমাবদ্ধ বলে মনে হচ্ছে, এবং এই দুটি হুমকি গোষ্ঠীর মধ্যে একটি সুনির্দিষ্ট সম্পর্ক স্থাপনের জন্য পর্যাপ্ত প্রমাণ নেই।
