MeowMeow ব্যাকডোর

সাইবার নিরাপত্তা গবেষকরা ইউক্রেনীয় সংস্থাগুলিকে লক্ষ্য করে সাইবার প্রচারণায় মোতায়েন করা মিওমিও নামে একটি পূর্বে নথিভুক্ত না থাকা ম্যালওয়্যার পরিবারের সন্ধান পেয়েছেন। এই অভিযানটি একটি কাঠামোগত সংক্রমণ শৃঙ্খল এবং সিস্টেমের সাথে আপস করতে এবং স্থায়িত্ব বজায় রাখতে স্তরযুক্ত প্রতারণামূলক কৌশল ব্যবহার প্রদর্শন করে।

একাধিক সূচকের উপর ভিত্তি করে, প্রচারণাটি রাশিয়ান রাষ্ট্র-স্পন্সরিত হুমকি অভিনেতা APT28-এর সাথে মাঝারি আত্মবিশ্বাসের সাথে দায়ী করা হয়েছে। এই মূল্যায়ন প্রচারণার লক্ষ্যবস্তু করার ধরণ, প্রলোভনে অন্তর্ভুক্ত ভূ-রাজনৈতিক থিম এবং পূর্ববর্তী রাশিয়ান সাইবার অপারেশনের সাথে প্রযুক্তিগত মিলের উপর নির্ভর করে।

ফিশিং এন্ট্রি পয়েন্ট এবং প্রাথমিক ট্র্যাকিং প্রক্রিয়া

আক্রমণের ক্রমটি শুরু হয় একটি সাবধানে তৈরি ফিশিং ইমেল দিয়ে যা বিশ্বাসযোগ্য বলে মনে করা হয়। বার্তাটি ukr.net-এর সাথে সম্পর্কিত একটি ঠিকানা থেকে পাঠানো হয়েছে, সম্ভবত এটি একটি কৌশল যা ইউক্রেনীয় প্রাপকদের মধ্যে আস্থা বৃদ্ধি করার উদ্দেশ্যে তৈরি করা হয়েছে।

ইমেলের মধ্যে একটি লিঙ্ক রয়েছে যা দাবি করে যে এটি একটি ZIP আর্কাইভে নিয়ে যাচ্ছে। যখন ভুক্তভোগী লিঙ্কটিতে ক্লিক করেন, তখন ব্রাউজারটি তাৎক্ষণিকভাবে ফাইলটি ডাউনলোড করে না। পরিবর্তে, এটি একটি অত্যন্ত ছোট ছবি লোড করে যা একটি ট্র্যাকিং পিক্সেল হিসাবে কাজ করে, আক্রমণকারীদের কাছে সংকেত দেয় যে লিঙ্কটি খোলা হয়েছে। এই নিশ্চিতকরণ পদক্ষেপের পরে, ভুক্তভোগীকে অন্য একটি URL এ পুনঃনির্দেশিত করা হয় যেখানে ক্ষতিকারক ZIP আর্কাইভটি অবশেষে ডাউনলোড করা হয়।

একটি প্রতারণামূলক সরকারি নথির মাধ্যমে প্রতারণা

একবার আর্কাইভটি বের করা হলে, সংক্রমণ শৃঙ্খল একটি HTML অ্যাপ্লিকেশন (HTA) ফাইল চালু করে। HTA একই সাথে দুটি ক্রিয়া সম্পাদন করে:

• সীমান্ত অতিক্রমের আবেদন সম্পর্কিত ইউক্রেনীয় ভাষায় লেখা একটি প্রলোভন নথি প্রদর্শন করে।
• পটভূমিতে অতিরিক্ত ক্ষতিকারক প্রক্রিয়া শুরু করে।

এই নথিটি সীমান্ত পারাপারের পদ্ধতি সম্পর্কে সরকারি আপিলের প্রাপ্তির নিশ্চিতকরণ উপস্থাপন করে একটি সামাজিক প্রকৌশল ব্যবস্থা হিসেবে কাজ করে। এই সাবধানে তৈরি আখ্যানটি বৈধতার বিভ্রমকে আরও শক্তিশালী করে, যখন দূষিত কার্যকলাপ অদৃশ্যভাবে অব্যাহত থাকে।

স্যান্ডবক্স ফাঁকি এবং সিস্টেম যাচাইকরণ

সংক্রমণ প্রক্রিয়া শুরু করার আগে, ম্যালওয়্যারটি নিয়ন্ত্রিত বিশ্লেষণ পরিবেশে চলছে কিনা তা নির্ধারণের জন্য পরীক্ষা করে।

HTA উইন্ডোজ রেজিস্ট্রি কী HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate কে জিজ্ঞাসা করে অপারেটিং সিস্টেমটি কতদিন ধরে ইনস্টল করা হয়েছে তা অনুমান করে। যদি সিস্টেমটি দশ দিনের কম বয়সী হয়, যা স্যান্ডবক্স পরিবেশের একটি সাধারণ বৈশিষ্ট্য, তাহলে ম্যালওয়্যারটি কার্যকর করা বন্ধ করে দেয়। এই পদক্ষেপটি আক্রমণকারীদের স্বয়ংক্রিয় ম্যালওয়্যার বিশ্লেষণ সিস্টেম দ্বারা সনাক্তকরণ এড়াতে সাহায্য করে।

পেলোড স্থাপন এবং স্থায়িত্ব প্রক্রিয়া

যদি সিস্টেমটি পরিবেশগত পরীক্ষায় উত্তীর্ণ হয়, তাহলে ম্যালওয়্যারটি ডাউনলোড করা জিপ আর্কাইভ থেকে অতিরিক্ত উপাদান বের করে আনবে। দুটি ফাইল উদ্ধার করা হবে: একটি VBScript ফাইল এবং একটি PNG ছবি যাতে লুকানো কোড রয়েছে। এই ফাইলগুলি নতুন ফাইলের নামে ডিস্কে লেখা হবে।

VBScript স্বয়ংক্রিয়ভাবে কার্যকর করে এমন একটি নির্ধারিত কাজ তৈরি করে স্থায়িত্ব অর্জন করা হয়। স্ক্রিপ্টের প্রাথমিক উদ্দেশ্য হল PNG ফাইলের মধ্যে লুকানো ক্ষতিকারক কোড বের করা। এই এমবেডেড পেলোডটি একটি অস্পষ্ট .NET লোডার যা BadPaw নামে পরিচিত, যা পরে একটি দূরবর্তী কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ শুরু করে।

ব্যাডপাও লোডার এবং মিউমিউ ব্যাকডোর

BadPaw লোডার অতিরিক্ত ম্যালওয়্যার মডিউল ডাউনলোডের জন্য দায়ী মধ্যস্থতাকারী উপাদান হিসেবে কাজ করে। এর মূল উদ্দেশ্য হল MeowMeow নামে একটি ব্যাকডোর এক্সিকিউটেবল পুনরুদ্ধার এবং স্থাপন করা।

মিউমিউ অ্যাপ্লিকেশনটির গ্রাফিক্যাল ইন্টারফেসের মধ্যে একটি অস্বাভাবিক বিভ্রান্তি বৈশিষ্ট্য রয়েছে। দৃশ্যমান 'মিউমিউ' বোতামটি ক্লিক করলে, প্রোগ্রামটি কেবল 'মিউ মিউ মিউ' লেখা একটি বার্তা প্রদর্শন করে, কোনও ক্ষতিকারক কার্যকলাপ করে না। এই আচরণটি ম্যানুয়াল পরিদর্শনের সময় বিশ্লেষকদের বিভ্রান্ত করার উদ্দেশ্যে তৈরি একটি গৌণ কৌশল হিসেবে কাজ করে।

প্রকৃত ক্ষতিকারক কার্যকারিতা শুধুমাত্র নির্দিষ্ট অবস্থার অধীনে ট্রিগার করা হয়। এক্সিকিউটেবলকে সংক্রমণ শৃঙ্খলের সময় সরবরাহ করা একটি নির্দিষ্ট প্যারামিটার (-v) দিয়ে চালু করতে হবে এবং এটি নিশ্চিত করতে হবে যে এটি বিশ্লেষণ পরিবেশের পরিবর্তে একটি বাস্তব শেষ বিন্দুতে চলছে।

বিশ্লেষণ-বিরোধী সুরক্ষা এবং পরিচালনাগত ক্ষমতা

এর ব্যাকডোর ক্ষমতা সক্রিয় করার আগে, ম্যালওয়্যারটি নিরাপত্তা বা ফরেনসিক পর্যবেক্ষণ সরঞ্জামগুলি চালু আছে কিনা তা পরীক্ষা করে। Wireshark, Procmon, Ollydbg, অথবা Fiddler এর মতো অ্যাপ্লিকেশনগুলি সনাক্ত করা হলে কার্যকরকরণ বন্ধ করে দেওয়া হয়, যা বিশ্লেষণ প্রচেষ্টাকে আরও জটিল করে তোলে।

একবার সক্রিয় হয়ে গেলে, মিউমিউ ব্যাকডোর আক্রমণকারীদের বেশ কয়েকটি ক্ষমতা প্রদান করে:

• আপোস করা হোস্টে PowerShell কমান্ডের দূরবর্তী সম্পাদন
• ফাইল সিস্টেম ম্যানিপুলেশন, যার মধ্যে ফাইল পড়া, লেখা এবং মুছে ফেলা অন্তর্ভুক্ত।

এই ফাংশনগুলি আক্রমণকারীদের ডেটা সংগ্রহ, পার্শ্বীয় চলাচল, বা আরও পেলোড স্থাপনের মতো ফলো-অন ক্রিয়াকলাপ সম্পাদন করতে দেয়।

ম্যালওয়্যার কোডে রাশিয়ান ভাষার শিল্পকর্ম

তাদের তদন্তের সময়, গবেষকরা ম্যালওয়্যার সোর্স কোডের মধ্যে এম্বেড করা রাশিয়ান ভাষার স্ট্রিং আবিষ্কার করেছেন, যা রাশিয়ান-ভাষী হুমকির কারণকে আরও শক্তিশালী করে।

এই নিদর্শনগুলির উপস্থিতি দুটি সম্ভাবনার একটির ইঙ্গিত দিতে পারে। আক্রমণকারীরা ইউক্রেনীয় পরিবেশের জন্য কোড স্থানীয়করণ করতে ব্যর্থ হয়ে একটি অপারেশনাল নিরাপত্তা তদারকি করেছে। বিকল্পভাবে, স্ট্রিংগুলি ম্যালওয়্যার তৈরির প্রক্রিয়ার সময় অনিচ্ছাকৃতভাবে পিছনে ফেলে আসা উন্নয়ন নিদর্শনগুলিকে প্রতিনিধিত্ব করতে পারে।

কারণ যাই হোক না কেন, এই ভাষাগত সূচকগুলি রাশিয়ান সাইবার অপারেশনের সাথে প্রচারণার সংযোগের বৃহত্তর অ্যাট্রিবিউশন মূল্যায়নে অবদান রাখে।