NimDoor Malware

সাইবার নিরাপত্তা পেশাদাররা নিমডুর নামে একটি নতুন এবং গোপন ম্যাকওএস ম্যালওয়্যার পরিবার আবিষ্কার করেছেন, যা এর উন্নত স্থায়িত্ব কৌশল, গোপন তথ্য চুরির প্রক্রিয়া এবং অত্যাধুনিক ফাঁকি দেওয়ার ক্ষমতার কারণে একটি গুরুতর হুমকি। এই দূষিত প্রচারণার জন্য উত্তর কোরিয়ার সাথে সংযুক্ত হুমকি অভিনেতারা দায়ী যারা ওয়েব3 এবং ক্রিপ্টোকারেন্সি সেক্টরকে লক্ষ্য করে।

উত্তর কোরিয়ার হ্যাকাররা নিম এবং ম্যাকওএসের দিকে ঝুঁকছে

উত্তর কোরিয়ার সাথে যুক্ত বলে সন্দেহ করা হুমকিদাতারা এখন তাদের ম্যালওয়্যার অস্ত্রাগারে নিম প্রোগ্রামিং ভাষা ব্যবহার করছে। এটি তাদের টুলকিটে চলমান বিবর্তনের লক্ষণ, পূর্ববর্তী প্রচারণাগুলিতে গো এবং রাস্টের মতো ভাষা ব্যবহার করা হয়েছিল। নিমের নতুন ব্যবহার উদ্ভাবনের অভিপ্রায় দেখায়, বিশেষ করে ক্রস-প্ল্যাটফর্ম হুমকি তৈরিতে যা সনাক্ত করা এবং বিশ্লেষণ করা কঠিন।

এই প্রচারণায়, আক্রমণকারীরা বিশেষভাবে Web3 এবং ক্রিপ্টোকারেন্সি-কেন্দ্রিক সংস্থাগুলিকে লক্ষ্য করে, ডিজিটাল ফাইন্যান্স অবকাঠামো ব্যাহত বা অনুপ্রবেশের স্বার্থে আর্থিকভাবে অনুপ্রাণিত একটি অভিযানের পরামর্শ দেয়।

অত্যন্ত অস্বাভাবিক macOS কৌশল

নিমডুরকে বিশেষভাবে উদ্বেগজনক করে তোলে ম্যাকওএস সংক্রমণের ক্ষেত্রে এর অপ্রচলিত পদ্ধতি। সবচেয়ে উল্লেখযোগ্যভাবে, এটি ব্যবহার করে:

• প্রসেস ইনজেকশন, ম্যাকওএস ম্যালওয়্যারের জন্য একটি বিরল কৌশল, যা হুমকিকে বৈধ প্রক্রিয়াগুলি হাইজ্যাক এবং হেরফের করার অনুমতি দেয়।
• এনক্রিপ্ট করা C2 ইন্টারঅ্যাকশনের জন্য WSS (ওয়েবসকেট সিকিউর) যোগাযোগ চ্যানেল।
• একটি অভিনব পারসিস্টেন্স পদ্ধতি যা SIGINT এবং SIGTERM সিগন্যাল হ্যান্ডলারগুলিকে কাজে লাগায়, যা ম্যালওয়্যারটিকে বন্ধ করে দিলে বা সিস্টেম রিবুট করার সময় পুনরায় ইনস্টল করতে দেয়।

এই বৈশিষ্ট্যগুলি এটিকে একটি নিম্ন প্রোফাইল বজায় রাখতে এবং সাধারণ ব্যবহারকারী বা সিস্টেম-প্রবর্তিত ব্যাঘাতের বিরুদ্ধে স্থিতিস্থাপক থাকতে সক্ষম করে।

সোশ্যাল ইঞ্জিনিয়ারিং-ফুয়েলড অ্যাটাক চেইন

আক্রমণটি একটি সামাজিক প্রকৌশল কৌশল দিয়ে শুরু হয়:

• টেলিগ্রামের মতো প্ল্যাটফর্মের মাধ্যমে ভুক্তভোগীদের সাথে যোগাযোগ করা হয় এবং ক্যালেন্ডলি ব্যবহার করে একটি জুম মিটিং নির্ধারণের জন্য প্রলুব্ধ করা হয়।
• তারা একটি জাল ইমেল পায় যাতে একটি জুম SDK আপডেট স্ক্রিপ্ট থাকে, যা ভিডিও কনফারেন্সিং সফ্টওয়্যারের সাথে সামঞ্জস্যপূর্ণ কিনা তা নিশ্চিত করার জন্য তৈরি করা হয়েছে।

এর ফলে একটি ক্ষতিকারক অ্যাপলস্ক্রিপ্ট কার্যকর হয়, যা ব্যবহারকারীকে একটি বৈধ জুম লিঙ্কে পুনঃনির্দেশিত করার সময় একটি দূরবর্তী সার্ভার থেকে একটি দ্বিতীয়-পর্যায়ের স্ক্রিপ্ট ডাউনলোড করে। দ্বিতীয়-পর্যায়ের স্ক্রিপ্টটি জিপ আর্কাইভগুলি বের করে:

• স্থিরতা প্রতিষ্ঠার জন্য বাইনারি
• সিস্টেম ডেটা চুরির জন্য ব্যাশ স্ক্রিপ্ট

InjectWithDyldArm64 এর ভূমিকা

সংক্রমণ প্রক্রিয়ার কেন্দ্রবিন্দুতে থাকে একটি C++ লোডার যা InjectWithDyldArm64, অথবা কেবল InjectWithDyld নামে পরিচিত। ম্যালওয়্যার কার্যকরভাবে এবং গোপনে মোতায়েনের জন্য এই উপাদানটি অত্যন্ত গুরুত্বপূর্ণ। এটি দুটি এমবেডেড বাইনারি ডিক্রিপ্ট করে শুরু হয়, একটি 'Target' এবং অন্যটি 'trojan1_arm64'। ডিক্রিপশনের পরে, এটি একটি স্থগিত অবস্থায় টার্গেট প্রক্রিয়া চালু করতে এগিয়ে যায়। প্রক্রিয়াটি বিরতি দিয়ে, লোডার trojan1_arm64 বাইনারিটিকে এতে ইনজেক্ট করে এবং তারপর পুনরায় কার্যকর করা শুরু করে। এই পদ্ধতিটি দূষিত পেলোডগুলিকে অত্যন্ত গোপনীয়ভাবে বিতরণ এবং সক্রিয় করার অনুমতি দেয়, স্ট্যান্ডার্ড সিস্টেম প্রতিরক্ষাকে বাইপাস করে এবং সনাক্তকরণের সম্ভাবনা কমিয়ে দেয়।

শংসাপত্র চুরি এবং সিস্টেম নজরদারি

একবার সক্রিয় হয়ে গেলে, ম্যালওয়্যারটি একটি দূরবর্তী কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ স্থাপন করে, যা এটিকে বেশ কয়েকটি ক্ষতিকারক ক্রিয়াকলাপ পরিচালনা করতে দেয়। এর মধ্যে রয়েছে বিস্তারিত সিস্টেম তথ্য সংগ্রহ করা, দূরবর্তীভাবে জারি করা ইচ্ছামত কমান্ড কার্যকর করা, বিভিন্ন ডিরেক্টরিগুলির মাধ্যমে নেভিগেট করা এবং এই ক্রিয়াকলাপগুলির ফলাফল আক্রমণকারীর কাছে ফেরত পাঠানো।

trojan1_arm64 কম্পোনেন্টের সম্পৃক্ততার ফলে হুমকি আরও বেড়ে যায়, যা C2 অবকাঠামো থেকে আরও দুটি পেলোড উদ্ধার করে আক্রমণকে আরও শক্তিশালী করে। এই পেলোডগুলি বিশেষভাবে সংবেদনশীল তথ্য সংগ্রহের জন্য তৈরি করা হয়েছে। তাদের প্রাথমিক লক্ষ্য হল বহুল ব্যবহৃত ওয়েব ব্রাউজার - Arc, Brave, Chrome, Edge এবং Firefox - এ সংরক্ষিত লগইন শংসাপত্র, এবং টেলিগ্রাম মেসেজিং অ্যাপ্লিকেশন থেকে ব্যবহারকারীর ডেটা।

স্থায়িত্ব প্রক্রিয়া

এর প্রাথমিক উপাদানগুলির পাশাপাশি, ম্যালওয়্যারটি নিম-ভিত্তিক এক্সিকিউটেবলগুলিও স্থাপন করে যা CoreKitAgent নামে পরিচিত একটি মডিউল সক্রিয় করে। এই মডিউলটি ম্যালওয়্যারের কার্যকারিতা বন্ধ করার যেকোনো প্রচেষ্টা পর্যবেক্ষণ করে এর স্থিতিস্থাপকতা নিশ্চিত করতে গুরুত্বপূর্ণ ভূমিকা পালন করে। এর উপস্থিতি বজায় রাখার জন্য, এটি SIGINT এবং SIGTERM এর জন্য কাস্টম সিগন্যাল হ্যান্ডলার ইনস্টল করে, যদি কোনও ব্যবহারকারী বা সুরক্ষা সরঞ্জাম এটি বন্ধ করার চেষ্টা করে তবে এটি স্বয়ংক্রিয়ভাবে পুনরায় চালু হতে দেয়। এই অন্তর্নির্মিত প্রক্রিয়াটি ম্যালওয়্যারের স্থায়িত্বকে উল্লেখযোগ্যভাবে শক্তিশালী করে।

আক্রমণকারীরা অ্যাপলস্ক্রিপ্টের ব্যাপক ব্যবহার করে, শুধুমাত্র প্রাথমিক সংক্রমণের পর্যায়েই নয় বরং ম্যালওয়্যারের চলমান পর্যবেক্ষণ এবং নিয়ন্ত্রণের জন্য পুরো অপারেশন জুড়ে এটি ব্যবহার করে। এই স্ক্রিপ্টিং ক্ষমতার মাধ্যমে, ম্যালওয়্যার প্রতি 30 সেকেন্ডে হার্ড-কোডেড C2 সার্ভারে পর্যায়ক্রমিক বীকন পাঠায়, বর্তমানে চলমান প্রক্রিয়াগুলি সম্পর্কে বিশদ প্রকাশ করে এবং দূরবর্তী হুমকি অভিনেতা দ্বারা জারি করা নতুন কমান্ডগুলি সম্পাদন করে।

কেন নিম ম্যালওয়্যারকে আরও বিপজ্জনক করে তোলে

নিম প্রোগ্রামিং ভাষার ব্যবহার আক্রমণকারীদের উল্লেখযোগ্য সুবিধা দেয়। কম্পাইলের সময় ফাংশন সম্পাদন করার নিমের ক্ষমতা তাদের অনুমতি দেয়:

• জটিল যুক্তি এম্বেড করুন যা সনাক্ত করা কঠিন
• বাইনারিগুলির মধ্যে নিয়ন্ত্রণ প্রবাহকে অস্পষ্ট করুন
• ডেভেলপার এবং রানটাইম কোডের মধ্যে মিশে যাওয়া, বিশ্লেষণকে উল্লেখযোগ্যভাবে কঠিন করে তোলে

এর ফলে প্রথাগত ম্যালওয়্যার সনাক্তকরণ ইঞ্জিনগুলিতে দৃশ্যমানতা হ্রাস পেয়ে কম্প্যাক্ট, উচ্চ-কার্যক্ষম বাইনারি তৈরি হয়।

নিমডুর একটি স্পষ্ট স্মারক যে ম্যাকওএস আর উন্নত ক্রমাগত হুমকি থেকে মুক্ত নয়। উত্তর কোরিয়ার অভিনেতারা এখন বিকশিত কৌশল এবং কম পরিচিত প্রোগ্রামিং ভাষা ব্যবহার করে এই প্ল্যাটফর্মটিকে লক্ষ্যবস্তু করছে, তাই অবগত থাকা এবং সতর্ক থাকা আগের চেয়ে আরও গুরুত্বপূর্ণ।