WINELOADER Backdoor

রাশিয়ার ফরেন ইন্টেলিজেন্স সার্ভিস (SVR) এর সাথে সম্পর্কযুক্ত একটি হ্যাকিং গোষ্ঠীর দ্বারা WINELOADER ব্যাকডোরে স্থাপন করা সাইবার আক্রমণগুলিকে সেট করা হয়েছে বলে মনে করা হয়৷ মিডনাইট ব্লিজার্ড নামে পরিচিত এই দলটি (এটি APT29, ব্লুব্র্যাভো বা কোজি বিয়ার নামেও পরিচিত), সোলারউইন্ডস এবং মাইক্রোসফ্টের মতো লঙ্ঘনে জড়িত থাকার জন্য কুখ্যাতি অর্জন করেছে। ব্যাকডোরটি এর আগে ওয়াইন-টেস্টিং ফিশিং লোভের মাধ্যমে কূটনৈতিক সত্ত্বাকে লক্ষ্য করে হামলায় ব্যবহৃত হয়েছে।

গবেষকরা প্রমাণ আবিষ্কার করেছেন যে মিডনাইট ব্লিজার্ড 2024 সালের ফেব্রুয়ারির শেষের দিকে জার্মান রাজনৈতিক দলগুলিকে টার্গেট করতে এই ম্যালওয়্যারটি ব্যবহার করেছিল, খ্রিস্টান ডেমোক্রেটিক ইউনিয়ন (CDU)-এর লোগো দ্বারা সজ্জিত ফিশিং ইমেলগুলি নিয়োগ করেছিল৷ এটিই প্রথম উদাহরণ যেখানে APT29 বিশেষভাবে রাজনৈতিক দলগুলোকে লক্ষ্য করে লক্ষ্য করা গেছে, যা ঐতিহ্যগত কূটনৈতিক মিশন থেকে দূরে তাদের অপারেশনাল ফোকাসে সম্ভাব্য পরিবর্তনের পরামর্শ দেয়।

WINELOADER Backdoor মাল্টি-স্টেজ অ্যাটাক চেইনের মাধ্যমে ভিকটিমদের সংক্রামিত করে

2024 সালের ফেব্রুয়ারিতে, গবেষকরা একটি চলমান সাইবার গুপ্তচরবৃত্তির প্রচারণার অংশ হিসাবে WINELOADER-এর অস্তিত্ব প্রকাশ করেছিলেন যা জুলাই 2023-এ শুরু হয়েছিল বলে বিশ্বাস করা হয়েছিল৷ এই কার্যকলাপটি SPIKEDWINE নামে পরিচিত একটি ক্লাস্টারকে দায়ী করা হয়েছে৷

আক্রমণের কৌশলটিতে জার্মান ভাষার বিষয়বস্তু সম্বলিত ফিশিং ইমেলগুলি জড়িত যা প্রাপকদের নৈশভোজের আমন্ত্রণের প্রতিশ্রুতি দিয়ে প্রলুব্ধ করার জন্য ডিজাইন করা হয়েছে। এই ইমেলগুলির লক্ষ্য প্রাপকদের একটি প্রতারণামূলক লিঙ্কে ক্লিক করার জন্য প্রতারণা করা, যার ফলে ROOTSAW (এছাড়াও EnvyScout নামে পরিচিত) নামে একটি দুর্বৃত্ত HTML অ্যাপ্লিকেশন (HTA) ফাইল ডাউনলোড করা হয়৷ ROOTSAW একটি প্রাথমিক ড্রপার হিসাবে কাজ করে, একটি দূরবর্তী সার্ভার থেকে WINELOADER সরবরাহের সুবিধা দেয়৷

ফিশিং ইমেলগুলির মধ্যে জার্মান-ভাষার প্রলোভন দস্তাবেজটি অভিনেতাদের দ্বারা নিয়ন্ত্রিত একটি আপস করা ওয়েবসাইটে হোস্ট করা একটি ক্ষতিকারক জিপ ফাইলের শিকারকে নির্দেশ করে৷ এই ZIP ফাইলটিতে ROOTSAW ড্রপার রয়েছে। মৃত্যুদন্ড কার্যকর করার পরে, ROOTSAW খ্রিস্টান ডেমোক্রেটিক ইউনিয়ন (CDU) এর চারপাশে থিমযুক্ত একটি দ্বিতীয়-পর্যায়ের লোভ ডকুমেন্ট সরবরাহ করে এবং পরবর্তীতে ওয়াইনলোডার পেলোড স্থাপন করে।

WINELOADER, বৈধ sqldumper.exe-এর মাধ্যমে DLL সাইড-লোডিং ব্যবহার করে, হুমকি অভিনেতাদের দ্বারা নিয়ন্ত্রিত একটি সার্ভারের সাথে যোগাযোগ স্থাপন করার ক্ষমতা রাখে, আপস করা হোস্টগুলিতে অতিরিক্ত মডিউলগুলি পুনরুদ্ধার এবং কার্যকর করতে সক্ষম করে৷

বিশ্লেষণ WINELOADER এবং APT29 এর সাথে যুক্ত অন্যান্য ম্যালওয়্যার পরিবারের মধ্যে মিল প্রকাশ করে, যেমন BURNTBATTER, MUSKYBEAT, এবং BEATDROP, একটি শেয়ার্ড ডেভেলপার বা উন্নয়ন পদ্ধতিতে ইঙ্গিত দেয়। তদুপরি, 2024 সালের জানুয়ারির শেষের দিকে চেক প্রজাতন্ত্র, জার্মানি, ভারত, ইতালি, লাটভিয়া এবং পেরু সহ বিভিন্ন দেশে কূটনৈতিক সত্ত্বাকে লক্ষ্য করে একটি অপারেশনে WINELOADER চিহ্নিত করা হয়েছে।

APT29 নতুন লক্ষ্যগুলি অন্তর্ভুক্ত করার জন্য এর পরিধি প্রসারিত করতে পারে

বিদেশী রাজনৈতিক গোয়েন্দা তথ্য সংগ্রহের লক্ষ্যে APT29-এর প্রাথমিক অনুপ্রবেশ কৌশলগুলিতে ROOTSAW একটি গুরুত্বপূর্ণ উপাদান। জার্মান রাজনৈতিক দলগুলিকে লক্ষ্য করার জন্য এই প্রথম পর্যায়ের ম্যালওয়ারের ব্যবহার এই APT29 সাবক্লাস্টারের সাথে যুক্ত সাধারণ কূটনৈতিক লক্ষ্যগুলি থেকে একটি উল্লেখযোগ্য প্রস্থান চিহ্নিত করে৷ এই পরিবর্তন নিঃসন্দেহে রাজনৈতিক দল এবং সুশীল সমাজের অন্যান্য দিক থেকে তথ্য অর্জনে SVR-এর গভীর আগ্রহকে প্রতিফলিত করে যা মস্কোর ভূ-রাজনৈতিক উদ্দেশ্যকে শক্তিশালী করতে পারে।

এই উন্নয়নটি জার্মানিতে গৃহীত আইনি পদক্ষেপের সাথে মিলে যায়, যেখানে প্রসিকিউটররা টমাস এইচ নামে একজন সামরিক অফিসারের বিরুদ্ধে গুপ্তচরবৃত্তির অভিযোগ দায়ের করেছেন। তিনি অনির্দিষ্ট সংবেদনশীল তথ্য প্রেরণের সাথে জড়িত রাশিয়ান গোয়েন্দা সংস্থার পক্ষ থেকে পরিচালিত গুপ্তচরবৃত্তি কার্যক্রমের জন্য অভিযুক্ত হয়েছেন। থমাস এইচকে 2023 সালের আগস্টে গ্রেপ্তার করা হয়েছিল।