XDigo Malware

সাইবার নিরাপত্তা গবেষকরা XDigo নামে একটি গো-ভিত্তিক চুরিকারীর সাথে জড়িত একটি নতুন সাইবার গুপ্তচরবৃত্তি অভিযান আবিষ্কার করেছেন, যা ২০২৫ সালের মার্চ মাসে পূর্ব ইউরোপীয় সরকারি সংস্থাগুলির বিরুদ্ধে মোতায়েন করা হয়েছিল। এই ম্যালওয়্যারটি কমপক্ষে ২০১১ সাল থেকে এই অঞ্চলে সক্রিয় স্থায়ী হুমকি অভিনেতা গ্রুপ XDSpy-এর সাথে যুক্ত।

XDSpy-এর প্রত্যাবর্তন: নজরদারির এক দশক

XDSpy একটি সু-নথিভুক্ত সাইবার গুপ্তচরবৃত্তি গোষ্ঠী যা পূর্ব ইউরোপ এবং বলকান অঞ্চল জুড়ে সরকারি সংস্থাগুলিকে লক্ষ্যবস্তু করার জন্য পরিচিত। ২০২০ সালে প্রথম প্রকাশ্যে বিশ্লেষণ করা হয়েছিল, XDSpy বছরের পর বছর ধরে তার টুলকিট এবং লক্ষ্যবস্তুর পরিধি বিকশিত করে, কার্যকলাপের একটি স্থির ধরণ বজায় রেখেছে।

এই গোষ্ঠীর সাথে সম্পর্কিত সাম্প্রতিক প্রচারণাগুলি রাশিয়া এবং মলদোভার সংস্থাগুলিকে আঘাত করেছে, যেখানে UTask, XDDown এবং DSDownloader-এর মতো ম্যালওয়্যার পরিবারগুলি ব্যবহার করা হয়েছে - এই সরঞ্জামগুলি অতিরিক্ত পেলোড ডাউনলোড করার এবং সংক্রামিত সিস্টেম থেকে সংবেদনশীল ডেটা সাইফ করার জন্য ডিজাইন করা হয়েছে।

LNK এক্সপ্লয়েটস: উইন্ডোজ শর্টকাটের পিছনে লুকানো বিপদ

XDigo ক্যাম্পেইনটি একটি মাল্টি-স্টেজ অ্যাটাক চেইন ব্যবহার করে যা উইন্ডোজ শর্টকাট ফাইল (.LNK) দিয়ে শুরু হয়, যা মাইক্রোসফ্ট উইন্ডোজে ZDI-CAN-25373 নামে ট্র্যাক করা একটি রিমোট কোড এক্সিকিউশন দুর্বলতাকে কাজে লাগায়, যা ২০২৫ সালের মার্চ মাসে প্রকাশ্যে প্রকাশিত হয়েছিল।

এই দুর্বলতাটি বিশেষভাবে তৈরি LNK ফাইলগুলির অনুপযুক্ত পরিচালনার ফলে উদ্ভূত হয়, যার ফলে ব্যবহারকারীর ইন্টারফেসে ক্ষতিকারক বিষয়বস্তু অদৃশ্য থাকে কিন্তু বর্তমান ব্যবহারকারীর প্রেক্ষাপটে কোড কার্যকর করে। আরও পরিদর্শনে নয়টি LNK ফাইলের একটি উপসেট প্রকাশ পেয়েছে, যা মাইক্রোসফটের MS-SHLLINK স্পেসিফিকেশন (v8.0) আংশিক বাস্তবায়নের ফলে সৃষ্ট পার্সিং বিভ্রান্তির ত্রুটিকে কাজে লাগিয়েছে।

বিশ্লেষণ বিভ্রান্তি: স্পেসিফিকেশন বনাম বাস্তবায়ন

MS-SHLLINK স্পেসিফিকেশন ৬৫,৫৩৫ অক্ষর পর্যন্ত স্ট্রিং দৈর্ঘ্যের অনুমতি দেয়, কিন্তু Windows 11 প্রকৃত বিষয়বস্তুকে ২৫৯ অক্ষরের মধ্যে সীমাবদ্ধ করে, কমান্ড-লাইন আর্গুমেন্ট ব্যতিক্রম। এই অমিলটি প্ল্যাটফর্ম জুড়ে LNK ফাইলগুলি কীভাবে ব্যাখ্যা করা হয় তাতে অসঙ্গতি তৈরি করে।

আক্রমণকারীরা এই ফাঁকটি কাজে লাগায়, পার্সারের উপর নির্ভর করে বৈধ বা অবৈধ বলে মনে হয় এমন LNK ফাইল তৈরি করে, যা সক্ষম করে:

• অপ্রত্যাশিত বা লুকানো কমান্ড কার্যকর করা
• উইন্ডোজ ইউআই এবং তৃতীয় পক্ষের বিশ্লেষণ সরঞ্জাম উভয়ের দ্বারা সনাক্তকরণ এড়ানো

হোয়াইটস্পেস প্যাডিং কৌশলের সাথে এটিকে একত্রিত করে, প্রতিপক্ষরা কার্যকরভাবে শর্টকাটের আসল উদ্দেশ্যকে অস্পষ্ট করে দেয়, ব্যবহারকারীদের বা সুরক্ষা সরঞ্জামগুলিকে সতর্ক না করেই সফলভাবে কার্যকর করার সম্ভাবনা বৃদ্ধি করে।

ইনফেকশন চেইন: জিপ আর্কাইভ, ডিকয় এবং ডিএলএল সাইডলোডিং

চিহ্নিত নয়টি ক্ষতিকারক LNK ফাইল জিপ আর্কাইভে বিতরণ করা হয়েছিল, প্রতিটিতে আরেকটি জিপ আর্কাইভ ছিল যা বান্ডিল করেছিল:

• একটি ডিকয় পিডিএফ ডকুমেন্ট
• একটি বৈধ এক্সিকিউটেবলের নাম পরিবর্তন করা হয়েছে
• বাইনারি দ্বারা সাইডলোড করা একটি ক্ষতিকারক DLL

ETDownloader নামের এই DLLটি প্রধান ইমপ্লান্ট - XDigo ডাউনলোড করার জন্য ডিজাইন করা প্রথম-পর্যায়ের পেলোড হিসেবে কাজ করে।

XDigo: একটি পরিমার্জিত ডেটা চুরিকারী

XDigo হল একটি Go-ভিত্তিক ম্যালওয়্যার ইমপ্লান্ট যা UsrRunVGA.exe এর একটি বিবর্তন বলে মূল্যায়ন করা হয়েছে, যা পূর্বে অক্টোবর 2023 সালে নথিভুক্ত করা হয়েছিল। এটি নিম্নলিখিত বিষয়গুলিতে সজ্জিত:

• স্থানীয় ফাইল সংগ্রহ করুন।
• ক্লিপবোর্ডের কন্টেন্ট ক্যাপচার করুন।
• স্ক্রিনশট নাও।
• HTTP GET এর মাধ্যমে দূরবর্তী সার্ভার থেকে আনা কমান্ড বা বাইনারিগুলি কার্যকর করুন।
• HTTP POST অনুরোধ ব্যবহার করে চুরি করা ডেটা এক্সফিল্টারেট করুন।

এই কার্যকারিতাটি XDigo-এর ভূমিকাকে নিশ্চিত করে যে এটি একটি গুপ্তচরবৃত্তি-ভিত্তিক চুরিকারী যা গোপনে তথ্য সংগ্রহের জন্য ডিজাইন করা হয়েছে।

লক্ষ্য প্রোফাইল এবং কৌশলগত ধারাবাহিকতা

তদন্তকারীরা মিনস্ক অঞ্চলে কমপক্ষে একটি লক্ষ্যবস্তু নিশ্চিত করেছেন, আরও লক্ষণগুলি রাশিয়ান খুচরা গোষ্ঠী, আর্থিক প্রতিষ্ঠান, বীমা কোম্পানি এবং সরকারি ডাক পরিষেবাগুলির বিরুদ্ধে অভিযানের ইঙ্গিত দেয়। এই শিকারতত্ত্ব XDSpy-এর ঐতিহাসিক ফোকাসের সাথে ঘনিষ্ঠভাবে সারিবদ্ধ, বিশেষ করে পূর্ব ইউরোপ এবং বেলারুশের উপর।

ফাঁকি দেওয়ার কৌশল এবং কৌশলগত পরিশীলন

XDSpy আধুনিক প্রতিরক্ষা এড়াতে একটি শক্তিশালী ক্ষমতা প্রদর্শন করেছে। উল্লেখযোগ্যভাবে, তাদের ম্যালওয়্যারই প্রথম একটি নির্দিষ্ট স্যান্ডবক্স সমাধান এড়িয়ে যাওয়ার চেষ্টা করেছিল, যা ক্রমবর্ধমান নিরাপত্তা ল্যান্ডস্কেপের প্রতিক্রিয়ায় উচ্চ মাত্রার কাস্টমাইজেশন এবং অভিযোজনযোগ্যতা প্রতিফলিত করে।

সারাংশ: মূল বিষয়গুলি

XDigo প্রচারণা কৌশল এবং লক্ষ্যবস্তু কৌশলের এক অত্যাধুনিক মিশ্রণ প্রদর্শন করে। এতে বিশেষভাবে তৈরি LNK ফাইলের মাধ্যমে ZDI-CAN-25373 নামে চিহ্নিত একটি উইন্ডোজ দুর্বলতা কাজে লাগানো হয়েছিল, পাশাপাশি ক্ষতিকারক কার্যকলাপকে আড়াল করার জন্য LNK পার্সিং অসঙ্গতিগুলি ব্যবহার করা হয়েছিল। আক্রমণকারীরা দুর্বৃত্ত উপাদানগুলি লোড করার জন্য নাম পরিবর্তন করে বৈধ এক্সিকিউটেবল ব্যবহার করে DLL সাইডলোডিংয়ের উপরও নির্ভর করেছিল। কমান্ড-এন্ড-কন্ট্রোল অবকাঠামোর সাথে যোগাযোগ এবং চুরি করা ডেটা এক্সফিল্টারেশন স্ট্যান্ডার্ড HTTP প্রোটোকলের মাধ্যমে পরিচালিত হয়েছিল, যা গোপনতা এবং ফাঁকি দেওয়ার সুযোগ করে দিয়েছিল।

লক্ষ্যবস্তুর দিক থেকে, এই অভিযানটি সরকারি সংস্থাগুলির উপর বিশেষভাবে দৃষ্টি নিবদ্ধ করেছিল, বিশেষ করে বেলারুশ এবং রাশিয়ায়। এটি আর্থিক ও খুচরা খাতের পাশাপাশি বৃহৎ বীমা কোম্পানি এবং জাতীয় ডাক পরিষেবাগুলিতেও এর বিস্তৃতি প্রসারিত করেছিল। এই অভিযানটি রাষ্ট্র-সংযুক্ত হুমকি অভিনেতাদের ক্রমাগত উদ্ভাবনের উপর জোর দেয় এবং লুকানো হুমকির জন্য এমনকি আপাতদৃষ্টিতে ক্ষতিকারক ফাইল প্রকার, যেমন LNK ফাইল, যাচাই করার গুরুত্বপূর্ণ প্রয়োজনীয়তাকে জোরদার করে।