BabyShark Attack Campaign

সাইবার নিরাপত্তা গবেষকরা উত্তর কোরিয়ার হ্যাকার গ্রুপ কিমসুকির ক্রমাগত এবং ক্রমবর্ধমান আক্রমণ আবিষ্কার করেছেন, যারা বেবিশার্ক ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য ক্লিকফিক্স নামে পরিচিত একটি বিস্তৃত সামাজিক প্রকৌশল কৌশল ব্যবহার করছে। এই প্রচারণাগুলি জাতীয় নিরাপত্তা বিশেষজ্ঞদের লক্ষ্য করে এবং ভিকটিম সিস্টেমে দীর্ঘমেয়াদী অ্যাক্সেস পেতে মানুষের প্রতারণা এবং প্রযুক্তিগত গোপনীয়তা উভয়কেই কাজে লাগায়।

স্পিয়ার-ফিশিং লোভের মাধ্যমে বিশেষজ্ঞদের টার্গেট করা

কিমসুকি হুমকি গোষ্ঠী ২০২৫ সালের জানুয়ারী থেকে সক্রিয়ভাবে স্পিয়ার-ফিশিং ইমেলগুলি মোতায়েন করছে, প্রাথমিকভাবে দক্ষিণ কোরিয়ার জাতীয় নিরাপত্তা বিশেষজ্ঞদের উপর দৃষ্টি নিবদ্ধ করে। আক্রমণকারীরা একটি বৈধ জার্মান-ভাষার ব্যবসায়িক প্রকাশনার প্রতিনিধি হিসেবে নিজেদের পরিচয় দেয় এবং ভুয়া সাক্ষাৎকারের অনুরোধের মাধ্যমে ভুক্তভোগীদের প্রলুব্ধ করে। এই ইমেলগুলিতে দূষিত RAR আর্কাইভের লিঙ্ক রয়েছে, যা একবার খোলার পরে, একটি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট (VBS) মোতায়েন করা হয়। এই স্ক্রিপ্টটি একটি ডিকয় গুগল ডক্স ফাইল চালু করে যা বৈধ বলে মনে হয় এবং নীরবে নির্ধারিত কাজের মাধ্যমে স্থিরতা প্রতিষ্ঠা করার জন্য কোড কার্যকর করে এবং সিস্টেমের তথ্য চুরি করে।

প্রতারণামূলক ব্যক্তিত্ব এবং পরিবর্তিত ক্লিকফিক্স ভেরিয়েন্ট

২০২৫ সালের মার্চ মাসের মধ্যে, কিমসুকি একজন উচ্চপদস্থ মার্কিন জাতীয় নিরাপত্তা কর্মকর্তার ছদ্মবেশ ধারণ করে তার প্রচেষ্টা আরও তীব্র করে তোলে। নতুন ফিশিং ইমেলগুলিতে একটি পিডিএফ ফাইল ছিল যেখানে মিটিংয়ে জাল প্রশ্নের তালিকা ছিল এবং প্রাপকদের প্রতারণা করে 'প্রমাণীকরণ কোড' প্রবেশ করিয়ে কথিত নিরাপদ সামগ্রী অ্যাক্সেস করতে বাধ্য করা হয়েছিল। এটি ক্লিকফিক্স পদ্ধতিতে একটি পরিবর্তনের প্রতিনিধিত্ব করে, জাল ত্রুটি সংশোধন থেকে কোড প্রবেশ করানো পর্যন্ত, যা বৈধতার মায়া বাড়িয়ে তোলে।

২০২৫ সালের এপ্রিলে, আরেকটি রূপ আবির্ভূত হয়, এবার একজন জাপানি কূটনীতিকের ছদ্মবেশে এবং মার্কিন যুক্তরাষ্ট্রে জাপানি রাষ্ট্রদূতের সাথে প্রস্তাবিত বৈঠকের উল্লেখ করে। আক্রমণটি আবার একটি অস্পষ্ট পাওয়ারশেল কমান্ডের বাস্তবায়নকে আড়াল করার জন্য একটি প্রতারণামূলক গুগল ডক্স পৃষ্ঠা ব্যবহার করে, যা ক্রমাগত C2 যোগাযোগের মাধ্যমে ডেটা এক্সফিল্ট্রেশন এবং পেলোড স্থাপনের অনুমতি দেয়।

ভুয়া চাকরির পোর্টাল এবং পপ-আপগুলিকে অস্ত্র হিসেবে ব্যবহার করা

আরও বিস্তারিতভাবে, কিমসুকি প্রতিরক্ষা গবেষণা চাকরির পোর্টালের ছদ্মবেশে ভুয়া ওয়েবসাইট ব্যবহার শুরু করে। এই সাইটগুলি ভুয়া চাকরির তালিকা প্রদর্শন করে, যা ক্লিক করলে, ক্লিকফিক্স-স্টাইলের পপ-আপগুলি ব্যবহারকারীদের উইন্ডোজ রান ডায়ালগ খুলতে এবং একটি পাওয়ারশেল কমান্ড কার্যকর করতে অনুরোধ করে।
এই কমান্ডটি ব্যবহারকারীদের Chrome রিমোট ডেস্কটপ ইনস্টল করার নির্দেশ দেয়, যা আক্রমণকারীদের C2 ডোমেন kida.plusdocs.kro.kr এর মাধ্যমে SSH এর মাধ্যমে সম্পূর্ণ দূরবর্তী অ্যাক্সেস দেয়। C2 সার্ভারে একটি ভুল কনফিগারেশনের ফলে উন্মুক্ত ভিকটিম ডেটা প্রকাশ পায়, যা দক্ষিণ কোরিয়ার সিস্টেম থেকে উদ্ভূত বলে মনে করা হয়। এছাড়াও, এই অবকাঠামোর সাথে সংযুক্ত একটি চীনা আইপিতে একটি কীলগিং লগ এবং একটি প্রোটন ড্রাইভ জিপ আর্কাইভ ছিল যা বেবিশার্ককে একটি জটিল মাল্টি-স্টেজ চেইনের মাধ্যমে সরবরাহ করে।

সাম্প্রতিক উদ্ভাবন: জাল ক্যাপচা এবং অটোইট স্থাপনা

সম্প্রতি ২০২৫ সালের জুনে, কিমসুকি জাল নেভার ক্যাপচা যাচাইকরণ পৃষ্ঠাগুলি ব্যবহার শুরু করে। এই জাল পৃষ্ঠাগুলি ব্যবহারকারীদের রান ডায়ালগে পাওয়ারশেল কমান্ডগুলি পেস্ট করার নির্দেশ দিত, একটি অটোআইটি স্ক্রিপ্ট কার্যকর করত যা সংবেদনশীল তথ্য সংগ্রহ করত। এটি আরও প্রমাণ করে যে ভুক্তভোগী পরিবেশে তাদের অবস্থান বজায় রাখার জন্য স্ক্রিপ্ট-ভিত্তিক সরঞ্জাম এবং সামাজিক প্রকৌশলের অভিযোজিত ব্যবহার গ্রুপটি কীভাবে করে।

ফিশিং ফ্রন্ট সম্প্রসারণ: একাডেমিক ছদ্মবেশ এবং HWP আক্রমণ

ক্লিকফিক্সের বাইরে, কিমসুকিকে একাডেমিক চিঠিপত্রের ছদ্মবেশে ফিশিং প্রচারণার সাথেও যুক্ত করা হয়েছে। এই ইমেলগুলি একটি গবেষণাপত্র পর্যালোচনা করার এবং একটি পাসওয়ার্ড-সুরক্ষিত HWP ডকুমেন্ট অন্তর্ভুক্ত করার অনুরোধ বলে মনে হচ্ছে। একবার খোলার পরে, ক্ষতিকারক ডকুমেন্টটি একটি পাওয়ারশেল স্ক্রিপ্ট চালানোর জন্য একটি এমবেডেড OLE অবজেক্ট ব্যবহার করে। এই স্ক্রিপ্টটি বিস্তারিত সিস্টেম রিকনেসান্স পরিচালনা করে এবং স্থায়ী রিমোট অ্যাক্সেস বজায় রাখার জন্য AnyDesk, একটি বৈধ রিমোট ডেস্কটপ টুল স্থাপন করে।

মূল বিষয়গুলি: এক নজরে কৌশল এবং কৌশল

কিমসুকির সামাজিক প্রকৌশল আক্রমণগুলি নির্ভর করে:

• বিশ্বস্ত ব্যক্তিত্ব এবং প্রতিষ্ঠানের (সাংবাদিক, কূটনীতিক, শিক্ষাবিদ) ছদ্মবেশ ধারণ করা
• ক্ষতিকারক কার্যকলাপ ঢাকতে ডিকয় ফাইলের (গুগল ডক্স, পিডিএফ, এইচডব্লিউপি ডকুমেন্ট) ব্যবহার
• ভুয়া ত্রুটি, প্রমাণীকরণ প্রম্পট, অথবা ক্যাপচা পৃষ্ঠার মাধ্যমে ব্যবহারকারীদের PowerShell কমান্ড চালানোর জন্য কৌশল ব্যবহার করা

প্রচারণার প্রযুক্তিগত বৈশিষ্ট্যগুলির মধ্যে রয়েছে :

• নির্ধারিত কাজ এবং রিমোট অ্যাক্সেস সফ্টওয়্যার (AnyDesk, Chrome রিমোট ডেস্কটপ) এর মাধ্যমে স্থায়ী অ্যাক্সেস
• বেবিশার্ক ম্যালওয়্যারের বহু-পর্যায়ের ডেলিভারি
• অটোআইটের মতো স্ক্রিপ্ট-ভিত্তিক অটোমেশন সরঞ্জামের ব্যবহার
• চুরি যাওয়া ভুক্তভোগীর তথ্য প্রকাশ করে অবকাঠামোগত দুর্বলতাকে কাজে লাগানো হচ্ছে

উপসংহার: একটি ক্রমাগত বিকশিত হুমকি

বেবিশার্ক প্রচারণা কিমসুকির সামাজিক প্রকৌশল কৌশল বিকশিত করার এবং বৈধ সফ্টওয়্যার এবং পাবলিক অবকাঠামোকে দূষিত উদ্দেশ্যে কাজে লাগানোর ক্ষেত্রে তাদের তৎপরতার চিত্র তুলে ধরে। ক্লিকফিক্স কৌশলটি তুলে ধরে যে হুমকিদাতারা কীভাবে সিস্টেমের দুর্বলতার পাশাপাশি মানুষের আচরণকেও কাজে লাগাতে থাকে। এই ধরনের অত্যাধুনিক হুমকিদাতাদের দ্বারা সৃষ্ট ঝুঁকি হ্রাস করার জন্য সতর্কতা, স্তরযুক্ত প্রতিরক্ষা কৌশল এবং ব্যবহারকারী শিক্ষা অত্যন্ত গুরুত্বপূর্ণ।