উত্তর কোরিয়ার হ্যাকাররা দক্ষিণ-পূর্ব এশিয়া জুড়ে গোপন আক্রমণে নতুন ভেলশেল ব্যাকডোর মোতায়েন করেছে
একটি শীতল নতুন উদ্ঘাটনে, উত্তর কোরিয়ার সাইবার-গুপ্তচরবৃত্তি গোষ্ঠীগুলিকে দক্ষিণ-পূর্ব এশিয়া জুড়ে গোপন সাইবার-আক্রমণ চালানোর জন্য VeilShell নামক একটি নতুন ব্যাকডোর ম্যালওয়্যার ব্যবহার করে দেখা গেছে। নিরাপত্তা বিশেষজ্ঞরা এই ক্রিয়াকলাপটিকে APT37- এর সাথে যুক্ত করেছেন, একটি কুখ্যাত হ্যাকিং গ্রুপ যা একাধিক উপনামের অধীনে কাজ করে, যেমন InkySquid, Reaper, RedEyes এবং ScarCruft। উত্তর কোরিয়ার রাষ্ট্রীয় নিরাপত্তা মন্ত্রকের সাথে লিঙ্কের সাথে, APT37 2012 সাল থেকে সক্রিয় রয়েছে এবং এটি সরকারী এবং কর্পোরেট সেক্টরকে লক্ষ্য করে অত্যাধুনিক সাইবার প্রচারণার জন্য কুখ্যাত।
সুচিপত্র
ঢেকে রাখা # ঘুমের প্রচারণা
নিরাপত্তা গবেষকরা এই সর্বশেষ অপারেশনটিকে SHROUDED#SLEEP বলে অভিহিত করেছেন, যা এই সাইবার অপরাধীদের দ্বারা প্রদর্শিত গোপনীয়তা এবং ধৈর্যের জন্য একটি উপযুক্ত নাম। গ্রুপটি কম্বোডিয়া এবং দক্ষিণ-পূর্ব এশিয়ার অন্যান্য দেশগুলির উপর একটি নির্দিষ্ট ফোকাস রেখে এই প্রচারণা চালাচ্ছে বলে মনে করা হচ্ছে। VeilShell, একটি রিমোট এক্সেস ট্রোজান (RAT) ব্যবহার করে, আক্রমণকারীদের লক্ষ্য আপোসকৃত মেশিনের সম্পূর্ণ নিয়ন্ত্রণ লাভ করা, ডেটা বের করে দেওয়ার ক্ষমতা, সিস্টেম রেজিস্ট্রিগুলি ম্যানিপুলেট করা এবং গোপনে কাজগুলি শিডিউল করা।
কিভাবে VeilShell কাজ করে?
এই আক্রমণের একটি স্ট্যান্ডআউট দিক হল কিভাবে VeilShell তার টার্গেট সিস্টেমে প্রবেশ করে। যদিও এটি এখনও স্পষ্ট নয় যে কীভাবে প্রাথমিক পেলোড বিতরণ করা হয়, বিশেষজ্ঞরা সন্দেহ করেন যে গোষ্ঠীটি স্পিয়ার-ফিশিং ইমেলগুলি ব্যবহার করে - দূষিত লিঙ্কগুলিতে ক্লিক করা বা সংক্রামিত ফাইলগুলি ডাউনলোড করার জন্য ব্যক্তিদের প্রতারণা করার একটি অত্যন্ত লক্ষ্যযুক্ত পদ্ধতি৷ প্রথম পর্যায়ের পেলোড সম্ভবত একটি উইন্ডোজ শর্টকাট (LNK) ফাইল ধারণকারী একটি ZIP সংরক্ষণাগারের মাধ্যমে বিতরণ করা হয়।
একবার সন্দেহজনক ব্যবহারকারী LNK ফাইলটি চালু করলে, এটি কর্মের একটি ক্রম ট্রিগার করে। একটি পাওয়ারশেল কোড—একটি স্ক্রিপ্টিং ভাষা যা সাধারণত উইন্ডোজ পরিবেশে ব্যবহৃত হয়—ফাইলের মধ্যে লুকিয়ে থাকা আরও উপাদানগুলি বের করে, পর্দার আড়ালে চলে। সন্দেহ উত্থাপন এড়াতে, আক্রমণটি ব্যবহারকারীকে একটি নির্দোষ চেহারার নথি, যেমন মাইক্রোসফ্ট এক্সেল বা পিডিএফ ফাইল দিয়ে বিভ্রান্ত করে, যখন এটি পটভূমিতে আরও বিপজ্জনক ম্যালওয়্যার উপাদানগুলি ইনস্টল করে।
আসল হুমকিটি আসে DomainManager.dll থেকে, একটি দূষিত ফাইল যা কৌশলগতভাবে উইন্ডোজ স্টার্টআপ ফোল্ডারে রাখা হয়, যেখানে এটি প্রতিবার সিস্টেম রিবুট করার সময় চালিয়ে যাওয়ার মাধ্যমে স্থিরতা নিশ্চিত করে। এই ফাইলটি একটি দূরবর্তী কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করে, যা আক্রমণকারীদের সংক্রামিত ডিভাইসের উপর নিয়ন্ত্রণ দেয়। সেখান থেকে, তারা ফাইল গুপ্তচর করতে পারে, সংবেদনশীল ডেটা আপলোড করতে পারে, আরও দূষিত সরঞ্জাম ডাউনলোড করতে পারে এবং এমনকি তাদের ট্র্যাকগুলি কভার করার জন্য ফাইলগুলি মুছতে বা পুনঃনামকরণ করতে পারে৷
অ্যাপডোমেন ম্যানেজার ইনজেকশন: একটি গোপন কৌশল
এই আক্রমণটিকে অন্যান্য সাইবার-আক্রমণ থেকে আলাদা করে কী করে তা হল অ্যাপডোমেন ম্যানেজার ইনজেকশন নামে একটি কৌশলের চতুর ব্যবহার। যদিও এটি জটিল শোনাতে পারে, পদ্ধতিটি মূলত আক্রমণকারীদেরকে কোনো অ্যালার্ম না বাড়িয়েই একটি বৈধ প্রোগ্রাম চালু করার সময় দূষিত কোড চালানোর অনুমতি দেয়। এই কৌশলটি সম্প্রতি চীনের সাথে সংযুক্ত আরেকটি হ্যাকার গ্রুপ দ্বারা নিযুক্ত করা হয়েছিল, যা ইঙ্গিত করে যে এই কৌশলটি বিশ্বব্যাপী সাইবার অপরাধীদের মধ্যে জনপ্রিয়তা অর্জন করছে।
দীর্ঘ খেলা: কিভাবে APT37 সনাক্তকরণ এড়িয়ে যায়
এই প্রচারণা এতদিন ধরে অজানা থাকার একটি কারণ হল আক্রমণকারীদের ধৈর্য। VeilShell সফলভাবে মোতায়েন করার পরে, তারা এখনই এটি সক্রিয় করে না। পরিবর্তে, সিস্টেম রিবুট না হওয়া পর্যন্ত ম্যালওয়্যারটি সুপ্ত থাকে। এই বিলম্বিত অ্যাক্টিভেশন, দীর্ঘ ঘুমের সময়গুলির সাথে মিলিত হয়ে (সম্পাদনে বিরতি), ঐতিহ্যগত নিরাপত্তা সরঞ্জামগুলির দ্বারা ম্যালওয়্যার সনাক্ত করা কঠিন করে তোলে। এই কৌশলগুলি হ্যাকারদের দীর্ঘ সময়ের জন্য সনাক্তকরণ এড়াতে সাহায্য করে, তাদের বুদ্ধি সংগ্রহ করতে এবং আপোসকৃত সিস্টেমের উপর নিয়ন্ত্রণ বজায় রাখতে দেয়।
প্রভাব এবং ভবিষ্যতের হুমকি
এই সাম্প্রতিক আবিষ্কার উত্তর কোরিয়ার সাইবার সক্ষমতা নিয়ে ক্রমবর্ধমান উদ্বেগকে আরও বাড়িয়ে দিয়েছে। APT37, Lazarus এবং Kimsuky-এর মতো গোষ্ঠীগুলিকে গুপ্তচরবৃত্তি, আর্থিক লাভ, এবং নাশকতার লক্ষ্যে রাষ্ট্র-স্পন্সর করা সাইবার-আক্রমণের সাথে যুক্ত করা হয়েছে। VeilShell-এর মতো অত্যাধুনিক সরঞ্জামগুলির ক্রমবর্ধমান ব্যবহারের সাথে, এই গ্রুপগুলি বিশ্বব্যাপী সাইবার নিরাপত্তা ল্যান্ডস্কেপের জন্য একটি উল্লেখযোগ্য হুমকি হয়ে দাঁড়িয়েছে।
বিশেষজ্ঞরা সতর্ক করেছেন যে এই প্রচারাভিযানটি সহজেই দক্ষিণ-পূর্ব এশিয়ার বাইরে ছড়িয়ে পড়তে পারে, কারণ উত্তর কোরিয়ার হ্যাকিং গ্রুপগুলির যুক্তরাষ্ট্র এবং ইউরোপ সহ একাধিক অঞ্চলকে লক্ষ্যবস্তু করার ইতিহাস রয়েছে৷ প্রকৃতপক্ষে, VeilShell আবিষ্কারের মাত্র কয়েক দিন আগে, আন্ডারিয়েল নামে পরিচিত আরেকটি উত্তর কোরিয়ার গোষ্ঠী একটি আর্থিকভাবে উদ্বুদ্ধ প্রচারে মার্কিন সংস্থাগুলির বিরুদ্ধে আক্রমণ শুরু করেছিল।
VeilShell এবং অনুরূপ হুমকির বিরুদ্ধে সুরক্ষা
সংস্থা এবং ব্যক্তিদের জন্য, এটি বর্শা-ফিশিং প্রচেষ্টার বিরুদ্ধে সতর্ক থাকার গুরুত্ব তুলে ধরে এবং নিশ্চিত করে যে সমস্ত সিস্টেম নিয়মিতভাবে সর্বশেষ নিরাপত্তা প্যাচগুলির সাথে আপডেট করা হয়। এই ধরনের আক্রমণের ঝুঁকি কমাতে এখানে কয়েকটি টিপস রয়েছে:
- অপ্রত্যাশিত ইমেল থেকে সতর্ক থাকুন: আপনি যদি একটি ফাইল সংযুক্তি বা লিঙ্ক সহ একটি ইমেল পান যা আপনি আশা করেননি, এটিতে ক্লিক করার আগে দুবার চিন্তা করুন।
- সফ্টওয়্যার আপ টু ডেট রাখুন: নিয়মিতভাবে প্যাচ করা অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশনগুলি আক্রমণকারীরা শোষণকারী সুরক্ষা ফাঁকগুলি বন্ধ করতে সহায়তা করতে পারে।
উপসংহারে, VeilShell ম্যালওয়্যার এবং SHROUDED#SLEEP প্রচারাভিযান হল সাইবার নিরাপত্তার জগতে ক্রমাগত ক্রমবর্ধমান হুমকির স্পষ্ট অনুস্মারক৷ সতর্কতা অবলম্বন করে এবং সক্রিয় নিরাপত্তা ব্যবস্থা গ্রহণ করে, ব্যক্তি এবং ব্যবসাগুলি এই বিপজ্জনক অভিনেতাদের থেকে এক ধাপ এগিয়ে থাকতে পারে।