অপারেশন ওলালামপো আক্রমণ অভিযান

ইরানের রাষ্ট্র-সমর্থিত হুমকি গোষ্ঠী MuddyWater, যাকে Earth Vetala, Mango Sandstorm এবং MUDDYCOAST নামেও চিহ্নিত করা হয়েছে, Operation Olalampo নামে একটি নতুন সাইবার অভিযান শুরু করেছে। এই অভিযানটি মূলত মধ্যপ্রাচ্য এবং উত্তর আফ্রিকা (MENA) অঞ্চল জুড়ে সংস্থা এবং ব্যক্তিদের লক্ষ্য করে পরিচালিত হয়েছে।

২৬ জানুয়ারী, ২০২৬ তারিখে প্রথম সনাক্ত করা হয়, এই প্রচারণাটি গ্রুপের সাথে পূর্বে যুক্ত উপাদানগুলি পুনঃব্যবহার করার সময় একাধিক নতুন ম্যালওয়্যার পরিবার প্রবর্তন করে। নিরাপত্তা গবেষকরা রিপোর্ট করেছেন যে এই কার্যকলাপটি MuddyWater-এর প্রতিষ্ঠিত কর্মক্ষম ধরণগুলির ধারাবাহিকতা প্রতিফলিত করে, যা META অঞ্চল (মধ্যপ্রাচ্য, তুরস্ক এবং আফ্রিকা) জুড়ে এর অবিচল উপস্থিতিকে শক্তিশালী করে।

সংক্রমণ বাহক এবং আক্রমণ শৃঙ্খল

এই অভিযানটি পূর্ববর্তী MuddyWater অপারেশনগুলির সাথে সামঞ্জস্যপূর্ণ একটি পরিচিত অনুপ্রবেশ পদ্ধতি অনুসরণ করে। প্রাথমিক অ্যাক্সেস সাধারণত স্পিয়ার-ফিশিং ইমেল দিয়ে শুরু হয় যেখানে ক্ষতিকারক মাইক্রোসফ্ট অফিস সংযুক্তি থাকে। এই নথিগুলিতে ম্যাক্রো কোড এমবেড করা হয় যা ভুক্তভোগীর সিস্টেমে পেলোড ডিকোড এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে, যা শেষ পর্যন্ত আক্রমণকারীদের রিমোট কন্ট্রোল প্রদান করে।

আক্রমণের বেশ কিছু বৈচিত্র্য লক্ষ্য করা গেছে:

• একটি ক্ষতিকারক মাইক্রোসফ্ট এক্সেল ডকুমেন্ট ভুক্তভোগীদের ম্যাক্রো সক্ষম করতে প্ররোচিত করে, যা রাস্ট-ভিত্তিক ব্যাকডোর CHAR স্থাপনের সূত্রপাত করে।
• একটি সম্পর্কিত রূপে GhostFetch ডাউনলোডার সরবরাহ করা হয়, যা পরবর্তীতে GhostBackDoor ইমপ্লান্ট ইনস্টল করে।
• তৃতীয় একটি সংক্রমণ শৃঙ্খল HTTP_VIP ডাউনলোডার বিতরণের জন্য মধ্যপ্রাচ্যের জ্বালানি ও সামুদ্রিক পরিষেবা সংস্থার ছদ্মবেশ ধারণের পরিবর্তে বিমানের টিকিট বা অপারেশনাল রিপোর্টের মতো থিমযুক্ত লোভ ব্যবহার করে। এই রূপটি অবশেষে স্থায়ী অ্যাক্সেসের জন্য AnyDesk রিমোট ডেস্কটপ অ্যাপ্লিকেশন ইনস্টল করে।

উপরন্তু, লক্ষ্যবস্তুযুক্ত পরিবেশে প্রাথমিক অ্যাক্সেস পেতে এই গোষ্ঠীটি ইন্টারনেট-মুখী সার্ভারগুলিতে নতুন প্রকাশিত দুর্বলতাগুলিকে কাজে লাগাতে দেখা গেছে।

ম্যালওয়্যার আর্সেনাল: কাস্টম টুলিং এবং মডুলার ইমপ্লান্ট

অপারেশন ওলালামপো একটি কাঠামোগত, বহু-পর্যায়ের ম্যালওয়্যার ইকোসিস্টেমের উপর নির্ভর করে যা পুনরুদ্ধার, স্থায়িত্ব এবং রিমোট কন্ট্রোলের জন্য ডিজাইন করা হয়েছে। এই প্রচারণায় চিহ্নিত প্রাথমিক সরঞ্জামগুলির মধ্যে রয়েছে:

GhostFetch – একটি প্রথম-পর্যায়ের ডাউনলোডার যা মাউসের নড়াচড়া এবং স্ক্রিন রেজোলিউশন যাচাই করে, ডিবাগিং টুল সনাক্ত করে, ভার্চুয়াল মেশিন আর্টিফ্যাক্ট সনাক্ত করে এবং অ্যান্টিভাইরাস সফ্টওয়্যার পরীক্ষা করে আপোস করা সিস্টেমগুলিকে প্রোফাইল করে। এটি সরাসরি মেমরিতে সেকেন্ডারি পেলোডগুলি পুনরুদ্ধার করে এবং কার্যকর করে।

GhostBackDoor - GhostFetch দ্বারা সরবরাহিত একটি দ্বিতীয়-পর্যায়ের ইমপ্লান্ট। এটি ইন্টারেক্টিভ শেল অ্যাক্সেস, ফাইল রিড/রাইট অপারেশন সক্ষম করে এবং GhostFetch পুনরায় চালু করতে পারে।

HTTP_VIP – একটি নেটিভ ডাউনলোডার যা সিস্টেম রিকনেসান্স করে এবং প্রমাণীকরণের জন্য বহিরাগত ডোমেন "codefusiontech(dot)org" এর সাথে সংযোগ স্থাপন করে। এটি একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে AnyDesk স্থাপন করে। একটি নতুন সংস্করণ ভিকটিম ডেটা সংগ্রহ, ইন্টারেক্টিভ শেল এক্সিকিউশন, ফাইল ট্রান্সফার, ক্লিপবোর্ড ক্যাপচার এবং কনফিগারযোগ্য বীকনিং ইন্টারভালের কার্যকারিতা উন্নত করে।

CHAR - একটি রাস্ট-ভিত্তিক ব্যাকডোর যা 'ওলালামপো' (ব্যবহারকারীর নাম: stager_51_bot) নামে চিহ্নিত একটি টেলিগ্রাম বটের মাধ্যমে নিয়ন্ত্রিত হয়। এটি ডিরেক্টরি নেভিগেশন এবং cmd.exe বা PowerShell কমান্ড কার্যকর করতে সহায়তা করে।

CHAR-এর সাথে যুক্ত PowerShell কার্যকারিতা একটি SOCKS5 রিভার্স প্রক্সি অথবা Kalim নামে একটি অতিরিক্ত ব্যাকডোর কার্যকর করতে সক্ষম করে। এটি ব্রাউজার ডেটা এক্সফিল্ট্রেশনকেও সহজ করে এবং 'sh.exe' এবং 'gshdoc_release_X64_GUI.exe' লেবেলযুক্ত এক্সিকিউটেবল চালু করে।

এআই-সহায়তাপ্রাপ্ত উন্নয়ন এবং কোড ওভারল্যাপ

CHAR-এর সোর্স কোডের কারিগরি বিশ্লেষণে কৃত্রিম বুদ্ধিমত্তা-সহায়তায় উন্নয়নের সূচক প্রকাশ পেয়েছে। ডিবাগ স্ট্রিং-এর মধ্যে ইমোজির উপস্থিতি গুগলের প্রকাশিত পূর্ববর্তী অনুসন্ধানের সাথে সামঞ্জস্যপূর্ণ, যেখানে বলা হয়েছে যে MuddyWater ম্যালওয়্যার ডেভেলপমেন্ট উন্নত করার জন্য, বিশেষ করে ফাইল ট্রান্সফার এবং রিমোট এক্সিকিউশন ক্ষমতার জন্য জেনারেটিভ AI টুল নিয়ে পরীক্ষা-নিরীক্ষা করছে।

আরও বিশ্লেষণে দেখা যায় যে CHAR এবং রাস্ট-ভিত্তিক ম্যালওয়্যার ব্ল্যাকবিয়ার্ড, যা আর্চার RAT বা RUSTRIC নামেও পরিচিত, এর মধ্যে কাঠামোগত এবং পরিবেশগত মিল রয়েছে, যা পূর্বে মধ্যপ্রাচ্যের সত্তাগুলির বিরুদ্ধে গ্রুপটি মোতায়েন করেছিল। এই ওভারল্যাপগুলি ভাগ করা উন্নয়ন পাইপলাইন এবং সরঞ্জামের পুনরাবৃত্তিমূলক পরিমার্জনের ইঙ্গিত দেয়।

সক্ষমতা এবং কৌশলগত অভিপ্রায় সম্প্রসারণ

META অঞ্চলের মধ্যে MuddyWater একটি অবিচল এবং বিকশিত হুমকির কারণ হিসেবে রয়ে গেছে। AI-সহায়তাপ্রাপ্ত উন্নয়নের একীকরণ, কাস্টমাইজড ম্যালওয়্যারের অব্যাহত পরিমার্জন, জনসাধারণের মুখোমুখি দুর্বলতাগুলির শোষণ এবং C2 অবকাঠামোর বৈচিত্র্য সম্মিলিতভাবে কর্মক্ষম সম্প্রসারণের জন্য দীর্ঘমেয়াদী প্রতিশ্রুতি প্রদর্শন করে।

অপারেশন ওলালামপো MENA-ভিত্তিক লক্ষ্যবস্তুর উপর গ্রুপের টেকসই মনোযোগকে তুলে ধরে এবং এর অনুপ্রবেশ ক্ষমতার ক্রমবর্ধমান পরিশীলিততার উপর আলোকপাত করে। এই অঞ্চলে কর্মরত সংস্থাগুলির উচিত উচ্চ সতর্কতা বজায় রাখা, ম্যাক্রো বিধিনিষেধ প্রয়োগ করা, বহির্গামী কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগ পর্যবেক্ষণ করা এবং এই ক্রমবর্ধমান হুমকির দৃশ্যপটের সংস্পর্শ কমাতে সময়োপযোগী দুর্বলতা প্রতিকারকে অগ্রাধিকার দেওয়া।