DAEMON টুলস সাপ্লাই চেইন অ্যাটাক

সাইবার নিরাপত্তা গবেষকরা DAEMON Tools ইনস্টলার-সম্পর্কিত একটি অত্যাধুনিক সাপ্লাই চেইন আক্রমণ উন্মোচন করেছেন। আক্রমণকারীরা বৈধ DAEMON Tools ওয়েবসাইটের মাধ্যমে বিতরণ করা অফিসিয়াল উইন্ডোজ ইনস্টলারগুলোকে সফলভাবে হ্যাক করে এবং ডিজিটালভাবে স্বাক্ষরিত সফটওয়্যার প্যাকেজগুলোতে ক্ষতিকারক কোড ঢুকিয়ে দেয়। যেহেতু ইনস্টলারগুলোতে আসল ডেভেলপার সার্টিফিকেট ছিল, তাই ম্যালওয়্যারটিকে বিশ্বাসযোগ্য মনে হয়েছিল এবং এটি সহজেই প্রচলিত নিরাপত্তা ব্যবস্থাগুলোকে ফাঁকি দিতে সক্ষম হয়।

ক্ষতিগ্রস্ত ইনস্টলার সংস্করণগুলো ছিল 12.5.0.2421 থেকে 12.5.0.2434 পর্যন্ত, এবং এর ক্ষতিকর কার্যকলাপের সূত্রপাত হয়েছিল ৮ই এপ্রিল, ২০২৬ তারিখে। সফটওয়্যারটির শুধুমাত্র উইন্ডোজ সংস্করণটি ক্ষতিগ্রস্ত হয়েছিল, কিন্তু ম্যাক সংস্করণটি অক্ষত ছিল। ঘটনাটি প্রকাশ পাওয়ার পর, ডেভেলপার এভিবি ডিস্ক সফট সংস্করণ 12.6.0.2445 প্রকাশ করে, যা ক্ষতিকর কার্যকারিতা অপসারণ করে এবং এই লঙ্ঘনের সমাধান করে।

বৈধ প্রক্রিয়ার ভিতরে লুকানো ক্ষতিকারক উপাদান

তদন্তকারীরা আবিষ্কার করেছেন যে আক্রমণকারীরা DAEMON Tools-এর তিনটি গুরুত্বপূর্ণ উপাদান পরিবর্তন করেছিল:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

যখনই এই বাইনারিগুলোর কোনোটি চালু হতো, সাধারণত সিস্টেম চালুর সময়, সেগুলো আক্রান্ত মেশিনে একটি লুকানো ইমপ্লান্ট সক্রিয় করে দিত। ইমপ্লান্টটি উইন্ডোজ cmd.exe প্রসেসের মাধ্যমে সম্পাদিত শেল কমান্ডগুলো পুনরুদ্ধার করার জন্য, ২৭ মার্চ, ২০২৬-এ নিবন্ধিত env-check.daemontools.cc নামক একটি বাহ্যিক ডোমেইনের সাথে যোগাযোগ করত।

ডাউনলোড করা কমান্ডগুলো অতিরিক্ত ম্যালওয়্যার স্থাপনকে সক্রিয় করে, যার ফলে আক্রমণকারীরা বিশ্বস্ত সফটওয়্যারের আচরণের আড়ালে লুকিয়ে থেকে আক্রান্ত সিস্টেমগুলোর ওপর তাদের নিয়ন্ত্রণ প্রসারিত করতে সক্ষম হয়।

বহু-পর্যায়ের ম্যালওয়্যার মোতায়েন উদ্বেগ সৃষ্টি করেছে

আক্রমণ শৃঙ্খলে গোয়েন্দাগিরি, স্থিতিশীলতা এবং দূর নিয়ন্ত্রণের জন্য পরিকল্পিত বেশ কয়েকটি গৌণ পেলোড অন্তর্ভুক্ত ছিল। মোতায়েন করা ফাইলগুলোর মধ্যে ছিল:

envchk.exe — একটি .NET-ভিত্তিক অনুসন্ধান সরঞ্জাম যা সিস্টেমের বিস্তারিত তথ্য সংগ্রহ করতে সক্ষম।
cdg.exe এবং cdg.tmp — একটি হালকা ব্যাকডোর ডিক্রিপ্ট ও চালু করতে ব্যবহৃত উপাদান, যা সরাসরি মেমরিতে ফাইল ডাউনলোড, শেল কমান্ড চালানো এবং শেলকোড রান করতে সক্ষম।

নিরাপত্তা বিশ্লেষকরা QUIC RAT নামে পরিচিত একটি রিমোট অ্যাক্সেস ট্রোজানের বিস্তারও শনাক্ত করেছেন। এই ম্যালওয়্যারটি HTTP, TCP, UDP, DNS, WSS, QUIC, এবং HTTP/3 সহ অসংখ্য কমান্ড-অ্যান্ড-কন্ট্রোল (C2) যোগাযোগ পদ্ধতি সমর্থন করে। এছাড়াও, এটি notepad.exe এবং conhost.exe-এর মতো বৈধ উইন্ডোজ প্রসেসগুলোতে ক্ষতিকারক পেলোড প্রবেশ করাতে পারে, যা এটিকে শনাক্ত করা উল্লেখযোগ্যভাবে আরও কঠিন করে তোলে।

হাজার হাজার মানুষ ঝুঁকির মুখে, কিন্তু শুধুমাত্র নির্দিষ্ট কিছু ভুক্তভোগীকেই লক্ষ্যবস্তু করা হয়।

গবেষকরা রাশিয়া, ব্রাজিল, তুরস্ক, জার্মানি, ফ্রান্স, ইতালি, স্পেন এবং চীনসহ ১০০টিরও বেশি দেশে হ্যাক হওয়া ইনস্টলারগুলোর সাথে যুক্ত কয়েক হাজার সংক্রমণের প্রচেষ্টা পর্যবেক্ষণ করেছেন। সংক্রমণের এই ব্যাপক বিস্তৃতি সত্ত্বেও, শুধুমাত্র সীমিত সংখ্যক সিস্টেমই উন্নত ব্যাকডোর পেলোডটি গ্রহণ করতে পেরেছিল, যা একটি অত্যন্ত সুনির্দিষ্ট লক্ষ্য নির্ধারণ কৌশলের ইঙ্গিত দেয়।

পরবর্তী ম্যালওয়্যারটি রাশিয়া, বেলারুশ এবং থাইল্যান্ড জুড়ে খুচরা, বৈজ্ঞানিক গবেষণা, সরকারি, উৎপাদন এবং শিক্ষা খাতে কর্মরত সংস্থাগুলির মধ্যে শনাক্ত করা হয়েছিল। একটি নিশ্চিত QUIC RAT সংক্রমণ বিশেষভাবে রাশিয়ার একটি শিক্ষা প্রতিষ্ঠানকে লক্ষ্যবস্তু করেছিল।

এই সুনির্দিষ্ট বিস্তার জোরালোভাবে ইঙ্গিত দেয় যে, এই অভিযানটি নির্বিচার গণসংক্রমণের পরিবর্তে সুনির্দিষ্ট লক্ষ্যবস্তু নির্ধারণের জন্য পরিকল্পিত ছিল। তবে, গবেষকরা এখনও নির্ধারণ করতে পারেননি যে আক্রমণকারীরা সাইবার গুপ্তচরবৃত্তি অভিযান চালাতে চেয়েছিল, নাকি আর্থিকভাবে লাভবান হওয়ার উদ্দেশ্যে 'বড় শিকার' করতে চেয়েছিল।

প্রমাণ একজন সুচতুর চীনা-ভাষী হুমকি সৃষ্টিকারীর দিকে ইঙ্গিত করছে

যদিও আনুষ্ঠানিকভাবে কোনো পরিচিত হুমকি গোষ্ঠীকে এই অভিযানের সাথে যুক্ত করা হয়নি, ম্যালওয়্যারের ফরেনসিক বিশ্লেষণ থেকে একজন চীনাভাষী প্রতিপক্ষের জড়িত থাকার ইঙ্গিত পাওয়া যায়। এই অনুপ্রবেশের জটিলতা এবং একটি আনুষ্ঠানিক বিক্রেতা চ্যানেলের মাধ্যমে বিতরণ করা স্বাক্ষরিত সফটওয়্যার হ্যাক করার ক্ষমতা, উন্নত আক্রমণাত্মক সক্ষমতা ও দীর্ঘমেয়াদী অভিযানিক পরিকল্পনার প্রমাণ দেয়।

DAEMON Tools-এর নিরাপত্তা লঙ্ঘনের ঘটনাটি ২০২৬ সালের প্রথম ছয় মাস জুড়ে পরিলক্ষিত সফটওয়্যার সাপ্লাই চেইন আক্রমণের ক্রমবর্ধমান ধারার সাথে যুক্ত হয়েছে। এর আগে জানুয়ারিতে eScan, ফেব্রুয়ারিতে Notepad++ এবং এপ্রিলে CPUID-এর উপর একই ধরনের ঘটনা ঘটেছিল।

সাপ্লাই চেইন আক্রমণ কেন এত বিপজ্জনক

সাপ্লাই চেইন লঙ্ঘন বিশেষভাবে বিপজ্জনক, কারণ এগুলো বৈধ সফটওয়্যার বিক্রেতাদের প্রতি ব্যবহারকারীদের সহজাত বিশ্বাসকে কাজে লাগায়। অফিসিয়াল ওয়েবসাইট থেকে সরাসরি ডাউনলোড করা এবং বৈধ ডিজিটাল সার্টিফিকেট দ্বারা স্বাক্ষরিত অ্যাপ্লিকেশনগুলোকে ব্যবহারকারী বা নিরাপত্তা পণ্যগুলো খুব কমই সন্দেহজনক হিসেবে বিবেচনা করে।

এই ক্ষেত্রে, ক্ষতিকর কার্যকলাপটি প্রায় এক মাস ধরে অলক্ষিত ছিল বলে জানা গেছে, যা আক্রমণকারীদের উন্নত কৌশল এবং প্রচলিত পেরিমিটার-ভিত্তিক নিরাপত্তা ব্যবস্থার সীমাবদ্ধতা উভয়কেই তুলে ধরে। নিরাপত্তা বিশেষজ্ঞরা জোর দিয়ে বলেছেন যে, DAEMON Tools-এর প্রভাবিত সংস্করণগুলো ব্যবহারকারী সংস্থাগুলোর উচিত অবিলম্বে ক্ষতিগ্রস্ত সিস্টেমগুলোকে বিচ্ছিন্ন করা এবং কর্পোরেট নেটওয়ার্কের মধ্যে সম্ভাব্য ল্যাটারাল মুভমেন্ট বা অতিরিক্ত ক্ষতিকর কার্যকলাপ শনাক্ত করার জন্য ব্যাপক থ্রেট-হান্টিং অপারেশন পরিচালনা করা।

বিক্রেতার প্রতিক্রিয়া এবং প্রস্তাবিত প্রশমন পদক্ষেপ

এভিবি ডিস্ক সফট জানিয়েছে যে, এই ত্রুটিটি সফটওয়্যারটির লাইট সংস্করণের মধ্যেই সীমাবদ্ধ বলে মনে হচ্ছে এবং ঘটনাটির পূর্ণাঙ্গ ব্যাপ্তি ও মূল কারণ নির্ণয়ের জন্য একটি তদন্ত চলছে বলেও তারা নিশ্চিত করেছে।

যেসব ব্যবহারকারী প্রভাবিত সময়কালে DAEMON Tools Lite সংস্করণ 12.5.1 ডাউনলোড বা ইনস্টল করেছেন, তাদেরকে অবিলম্বে সফটওয়্যারটি মুছে ফেলতে, নির্ভরযোগ্য নিরাপত্তা টুল ব্যবহার করে একটি সম্পূর্ণ অ্যান্টিভাইরাস ও এন্ডপয়েন্ট নিরাপত্তা স্ক্যান করতে এবং শুধুমাত্র DAEMON Tools-এর অফিসিয়াল ওয়েবসাইট থেকে সরাসরি প্রাপ্ত সর্বশেষ ত্রুটিমুক্ত সংস্করণটি পুনরায় ইনস্টল করার জন্য দৃঢ়ভাবে পরামর্শ দেওয়া হচ্ছে।