এক্সক্টডোর ব্যাকডোর
একটি দক্ষিণ কোরিয়ান ইআরপি (এন্টারপ্রাইজ রিসোর্স প্ল্যানিং) বিক্রেতার আপডেট সার্ভার আবিষ্কৃত হয়েছে, যা Xctdoor নামে একটি Go-ভিত্তিক ব্যাকডোর বিতরণ করছে। গবেষকরা 2024 সালের মে মাসে এই আক্রমণটি উন্মোচন করেছিলেন, এবং তারা একটি নির্দিষ্ট হুমকি অভিনেতা বা গোষ্ঠীকে চিহ্নিত করতে না পারলেও, তারা কুখ্যাত লাজারাস গ্রুপের সাথে যুক্ত একটি উপগোষ্ঠী আন্ডারিয়েল দ্বারা ব্যবহৃত কৌশলগুলির সাথে মিল লক্ষ্য করেছেন।
এই কৌশলগুলি উত্তর কোরিয়ার প্রতিপক্ষের সাথে জড়িত অতীতের ঘটনাগুলির প্রতিধ্বনি করে, যারা পূর্বে 2017 সালে HotCroissant ( Rifdoor নামেও পরিচিত) এর মতো ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য ERP সমাধান ব্যবহার করেছিল৷ এটি একটি সফ্টওয়্যার আপডেট মেকানিজমের মধ্যে দূষিত কোড স্থাপন করে অর্জন করা হয়েছিল৷
সুচিপত্র
Xctdoor ব্যাকডোর আক্রমণকারীদের অসংখ্য ক্ষতিকারক ক্ষমতা প্রদান করে
আক্রমণ বিশ্লেষণের সময়, এটি নির্ধারণ করা হয়েছিল যে একটি ডাউনলোডার শুরু করার পরিবর্তে regsvr32.exe প্রক্রিয়া ব্যবহার করে একটি নির্দিষ্ট পথ থেকে একটি DLL ফাইল চালানোর জন্য এক্সিকিউটেবল পরিবর্তন করা হয়েছিল। Xctdoor নামে পরিচিত এই DLL ফাইলটিতে সিস্টেমের তথ্য যেমন কীস্ট্রোক, স্ক্রিনশট এবং ক্লিপবোর্ডের বিষয়বস্তু ক্যাপচার করা এবং আক্রমণকারীর দ্বারা জারি করা কমান্ড কার্যকর করার ক্ষমতা রয়েছে।
Xctdoor মারসেন টুইস্টার (MT19937) এবং বেস64 অ্যালগরিদম ব্যবহার করে প্যাকেট এনক্রিপশন সহ HTTP এর মাধ্যমে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করে। এই আক্রমণে XcLoader নামে আরেকটি ম্যালওয়্যার ভেরিয়েন্ট জড়িত, যা 'explorer.exe'-এর মতো বৈধ প্রক্রিয়ায় Xctdoorকে ইনজেক্ট করার জন্য ডিজাইন করা হয়েছে। সাম্প্রতিক অনুসন্ধানগুলি এমন উদাহরণগুলি নির্দেশ করে যেখানে অপর্যাপ্তভাবে সুরক্ষিত ওয়েব সার্ভারগুলি কমপক্ষে মার্চ 2024 সাল থেকে XcLoader ইনস্টল করার জন্য আপস করা হয়েছে৷
একই প্রক্রিয়া অন্যান্য ম্যালওয়্যার হুমকি দ্বারা অপব্যবহার
regsvr32.exe প্রক্রিয়াটি উত্তর কোরিয়ার সাথে যুক্ত অন্যান্য প্রচারাভিযানে কাজে লাগানো হয়েছে, বিশেষ করে Kimsuky APT গ্রুপ দ্বারা। তারা হ্যাপিডোর নামে একটি অপ্রকাশিত ব্যাকডোর ব্যবহার করেছে, যা কমপক্ষে জুলাই 2021 থেকে চালু রয়েছে।
এই আক্রমণের ক্রমগুলি সাধারণত স্পিয়ার-ফিশিং ইমেলগুলির সাথে শুরু হয় যা একটি সংকুচিত ফাইল বিতরণ করে। এই সংরক্ষণাগারের মধ্যে, একটি অস্পষ্ট জাভাস্ক্রিপ্ট বা ড্রপার পাওয়া যায়, যা কার্যকর করার পরে, একটি ডিকয় ফাইলের পাশাপাশি হ্যাপিডোর চালু করে। HappyDoor, regsvr32.exe এর মাধ্যমে একটি DLL ফাইল হিসাবে বাস্তবায়িত, HTTP এর মাধ্যমে একটি দূরবর্তী সার্ভারের সাথে যোগাযোগ স্থাপন করে। এর কার্যকারিতাগুলির মধ্যে রয়েছে ডেটা চুরি, ফাইল ডাউনলোড/আপলোড ক্ষমতা এবং স্ব-আপডেট এবং প্রক্রিয়াগুলি বন্ধ করার ক্ষমতা।
ব্যাকডোর ইনফেকশন ভিকটিমদের জন্য মারাত্মক পরিণতি হতে পারে
ব্যাকডোর ম্যালওয়্যার সংক্রমণের শিকার ব্যক্তিরা এই হুমকিগুলির গোপন এবং অবিরাম প্রকৃতির কারণে গুরুতর পরিণতির সম্মুখীন হতে পারে৷ এখানে কিছু সম্ভাব্য প্রভাব রয়েছে:
- ডেটা চুরি : ব্যাকডোর প্রায়ই আক্রমণকারীদের ব্যক্তিগত তথ্য যেমন লগইন শংসাপত্র, আর্থিক তথ্য, মেধা সম্পত্তি এবং ব্যক্তিগত ফাইল সংগ্রহ করতে দেয়। এই সংগৃহীত ডেটা আর্থিক লাভের জন্য ব্যবহার করা যেতে পারে বা আরও আক্রমণে ব্যবহার করা যেতে পারে।
- নজরদারি এবং মনিটরিং : পিছনের দরজাগুলি আক্রমণকারীদের কীস্ট্রোক, স্ক্রিনশট, ওয়েবক্যাম ফিড এবং মাইক্রোফোন ইনপুট সহ ভিকটিমদের কার্যকলাপগুলি পর্যবেক্ষণ এবং নজরদারি করতে সক্ষম করতে পারে৷ গোপনীয়তার এই আক্রমণ ব্যক্তিগত বা কর্পোরেট গুপ্তচরবৃত্তির দিকে নিয়ে যেতে পারে।
- অননুমোদিত অ্যাক্সেস : আক্রমণকারীরা আপোসকৃত সিস্টেমে দীর্ঘস্থায়ী অননুমোদিত অ্যাক্সেস পেতে পারে। এই অ্যাক্সেসটি সিস্টেমগুলিকে ম্যানিপুলেট বা নাশকতা করতে, অপারেশন ব্যাহত করতে বা এমনকি অতিরিক্ত ম্যালওয়্যার স্থাপন করতে ব্যবহার করা যেতে পারে।
- সিস্টেম কম্প্রোমাইজ : ব্যাকডোর প্রায়ই সিস্টেমের সামগ্রিক নিরাপত্তা ভঙ্গিকে দুর্বল করে দেয়, এটিকে আরও শোষণের জন্য ঝুঁকিপূর্ণ করে তোলে। এটি নেটওয়ার্কের মধ্যে অন্যান্য সংযুক্ত সিস্টেম বা সংস্থানগুলির সাথে আপস করতে পারে৷
- আর্থিক ক্ষতি : তহবিল চুরি, ব্যবসার সুযোগ হারানো, আইনি দায় এবং প্রতিকার এবং পুনরুদ্ধারের প্রচেষ্টার সাথে যুক্ত খরচের কারণে ব্যবসাগুলি আর্থিক ক্ষতির সম্মুখীন হতে পারে।
- খ্যাতি ক্ষতি : প্রতিষ্ঠানের জন্য, একটি ব্যাকডোর সংক্রমণ সুনামের ক্ষতি, গ্রাহকের আস্থার ক্ষতি এবং ব্র্যান্ডের মান হ্রাস করতে পারে। এটি ব্যবসায়িক সম্পর্ক এবং অপারেশনগুলিতে দীর্ঘমেয়াদী পরিণতি হতে পারে।
- অপারেশনাল ব্যাঘাত : ব্যাকডোর সিস্টেম ক্র্যাশ, স্লোডাউন বা পরিষেবার শর্ত অস্বীকার করে স্বাভাবিক ক্রিয়াকলাপকে ব্যাহত করতে পারে। এর ফলে ডাউনটাইম, উৎপাদনশীলতা হ্রাস এবং পরিষেবা ব্যাহত হওয়ার কারণে আর্থিক প্রভাব পড়তে পারে।
- নিয়ন্ত্রক এবং কমপ্লায়েন্স ইস্যু : যদি আপোস করা সিস্টেমগুলি গোপনীয়তা আইন বা শিল্প প্রবিধান সাপেক্ষে সংবেদনশীল ডেটা পরিচালনা করে তবে সংস্থাগুলি নিয়ন্ত্রক জরিমানা এবং আইনি পরিণতির সম্মুখীন হতে পারে৷
- সনাক্তকরণ এবং অপসারণে অসুবিধা : ব্যাকডোরগুলি অ্যান্টি-ম্যালওয়্যার সফ্টওয়্যার এবং ফায়ারওয়ালগুলির মতো সুরক্ষা ব্যবস্থা দ্বারা সনাক্তকরণ এড়াতে ডিজাইন করা হয়েছে। তাদের সম্পূর্ণরূপে সনাক্ত করা এবং অপসারণ করা চ্যালেঞ্জিং হতে পারে, বিশেষ জ্ঞান এবং সরঞ্জামের প্রয়োজন।
- দীর্ঘমেয়াদী দুর্বলতা : প্রাথমিক প্রতিকারের পরেও, আপোসকৃত সিস্টেমগুলি ভবিষ্যতে আক্রমণ বা নির্ধারিত আক্রমণকারীদের দ্বারা ক্রমাগত ব্যাকডোর পুনঃসক্রিয় করার প্রচেষ্টার জন্য দুর্বল থাকতে পারে।
সামগ্রিকভাবে, ব্যাকডোর ম্যালওয়্যার সংক্রমণের পরিণতিগুলি গুরুতর এবং বহুমুখী হতে পারে, যা ব্যক্তি এবং সংস্থা উভয়কেই আর্থিক, কর্মক্ষম এবং সুনামগত ক্ষতির ক্ষেত্রে প্রভাবিত করে, সেইসাথে তাদের গোপনীয়তা এবং নিরাপত্তার সাথে আপস করে।
