ভলডেমর্ট ম্যালওয়্যার
সাইবারসিকিউরিটি গবেষকরা একটি নতুন ম্যালওয়্যার প্রচারাভিযান চিহ্নিত করেছেন যা Google শীটকে কমান্ড-এন্ড-কন্ট্রোল (C2) প্ল্যাটফর্ম হিসেবে ব্যবহার করে।
2024 সালের আগস্টে গবেষকদের দ্বারা শনাক্ত করা হয়েছে, আক্রমণ অভিযানটি বিশ্বব্যাপী 70 টিরও বেশি সংস্থাকে টার্গেট করার জন্য ইউরোপ, এশিয়া এবং মার্কিন যুক্তরাষ্ট্রের ট্যাক্স কর্তৃপক্ষ হিসাবে ছদ্মবেশ ধারণ করেছে। আক্রমণকারীরা ভলডেমর্ট নামে একটি কাস্টম টুল ব্যবহার করে, যা তথ্য সংগ্রহ করতে এবং অতিরিক্ত ম্যালওয়্যার স্থাপনের জন্য ডিজাইন করা হয়েছে।
লক্ষ্যযুক্ত খাতগুলির মধ্যে বীমা, মহাকাশ, পরিবহন, একাডেমিয়া, অর্থ, প্রযুক্তি, শিল্প, স্বাস্থ্যসেবা, স্বয়ংচালিত, আতিথেয়তা, শক্তি, সরকার, মিডিয়া, উত্পাদন, টেলিকম এবং সামাজিক সুবিধা সংস্থাগুলি অন্তর্ভুক্ত। যদিও সাইবার গুপ্তচরবৃত্তির প্রচারণার সাথে কোনো নির্দিষ্ট হুমকি অভিনেতার যোগসূত্র নেই, তবে অনুমান করা হয় যে এই হামলায় ২০,০০০ ইমেল পাঠানো হয়েছে।
সুচিপত্র
আক্রমণকারীদের দ্বারা শোষিত প্রাথমিক আপস ভেক্টর
আবিষ্কৃত ইমেলগুলি মার্কিন যুক্তরাষ্ট্র, যুক্তরাজ্য, ফ্রান্স, জার্মানি, ইতালি, ভারত এবং জাপানের ট্যাক্স কর্তৃপক্ষের বলে ধারণা করা হয়, যা প্রাপকদের তাদের ট্যাক্স ফাইলিংয়ের আপডেটের বিষয়ে অবহিত করে এবং তাদের Google AMP ক্যাশে URL-এ ক্লিক করার জন্য অনুরোধ করে যা তাদের মধ্যস্থতাকারীর কাছে নিয়ে যায়। অবতরণ পৃষ্ঠা।
ব্যবহারকারীর অপারেটিং সিস্টেম উইন্ডোজ কিনা তা নির্ধারণ করতে এই পৃষ্ঠাটি ব্যবহারকারী-এজেন্ট স্ট্রিং পরীক্ষা করে। যদি তা হয়, তাহলে পৃষ্ঠাটি সার্চ-এমএস: ইউআরআই প্রোটোকল হ্যান্ডলার ব্যবহার করে একটি উইন্ডোজ শর্টকাট (LNK) ফাইলকে পিডিএফ হিসাবে ছদ্মবেশে Adobe Acrobat Reader ব্যবহার করে এটি খোলার জন্য শিকারকে প্রতারিত করার চেষ্টা করে।
যদি LNK ফাইলটি নির্বাহ করা হয়, এটি একটি WebDAV শেয়ার (\লাইব্রেরি) থেকে Python.exe চালানোর জন্য PowerShell কে ট্রিগার করে, একই সার্ভারে আর্গুমেন্ট হিসাবে অন্য একটি শেয়ারে (\resource) অবস্থিত একটি পাইথন স্ক্রিপ্ট পাস করে।
কিভাবে ভলডেমর্ট ম্যালওয়্যার আপস করা সিস্টেমে স্থাপন করা হয়
এই পদ্ধতিটি পাইথনকে কম্পিউটারে কোনো ফাইল সংরক্ষণ না করেই স্ক্রিপ্ট চালানোর অনুমতি দেয়, নির্ভরতা সরাসরি WebDAV শেয়ার থেকে লোড করা হয়।
পাইথন স্ক্রিপ্টটি সিস্টেমের তথ্য সংগ্রহ করতে এবং আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি ডোমেনে বেস64-এনকোডেড স্ট্রিং হিসাবে প্রেরণ করার জন্য প্রোগ্রাম করা হয়েছে। পরে, এটি ব্যবহারকারীর কাছে একটি ডিকয় পিডিএফ প্রদর্শন করে এবং ওপেনড্রাইভ থেকে একটি পাসওয়ার্ড-সুরক্ষিত জিপ ফাইল ডাউনলোড করে।
ZIP সংরক্ষণাগারে দুটি ফাইল রয়েছে: একটি বৈধ এক্সিকিউটেবল, 'CiscoCollabHost.exe', যা DLL সাইডলোডিং-এর জন্য ঝুঁকিপূর্ণ, এবং একটি ক্ষতিকারক DLL ফাইল, 'CiscoSparkLauncher.dll' (Voldemort নামে পরিচিত), যা এক্সিকিউটেবল দ্বারা সাইডলোড করা হয়।
ভলডেমর্ট ম্যালওয়্যার হুমকির ক্ষমতা
Voldemort হল C তে লেখা একটি কাস্টম ব্যাকডোর যা তথ্য সংগ্রহ এবং পরবর্তী পর্যায়ের পেলোডগুলি লোড করার ক্ষমতা সহ আসে, ম্যালওয়্যার C2 এর জন্য Google শীট ব্যবহার করে, ডেটা এক্সফিল্টেশন এবং অপারেটরদের কাছ থেকে আদেশ কার্যকর করে৷
গবেষকরা কার্যকলাপটিকে অ্যাডভান্সড পারসিস্টেন্ট থ্রেটস (এপিটি) এর সাথে সংযুক্ত বলে বর্ণনা করেছেন কিন্তু ই-ক্রাইম ল্যান্ডস্কেপে জনপ্রিয় কৌশলগুলির ব্যবহারের কারণে সাইবার অপরাধের বৈশিষ্ট্য বহন করে৷
ম্যালওয়্যার স্টেজিং, বিশেষ করে WebDAV এবং সার্ভার মেসেজ ব্লক (SMB) এর জন্য বাহ্যিক ফাইল-শেয়ারিং সংস্থান অ্যাক্সেস করতে হুমকি অভিনেতারা ফাইল স্কিমা URI-এর অপব্যবহার করে। এটি স্কিমা' file://' ব্যবহার করে এবং হুমকিমূলক সামগ্রী হোস্টিং একটি দূরবর্তী সার্ভারের দিকে নির্দেশ করে করা হয়৷
এই পদ্ধতিটি ম্যালওয়্যার পরিবারগুলির মধ্যে ক্রমবর্ধমানভাবে প্রচলিত হয়েছে যেগুলি প্রাথমিক অ্যাক্সেস ব্রোকার (IABs) হিসাবে কাজ করে, যেমন Latrodectus , DarkGate এবং XWor m.
আক্রমণকারীর লক্ষ্য অজানা থেকে যায়
ক্ষতিকারক প্রচারাভিযানটিকে অস্বাভাবিক বলে মনে করা হয়েছে, পরামর্শ দেওয়া হয়েছে যে হুমকি অভিনেতারা প্রাথমিকভাবে একটি নির্বাচিত গোষ্ঠীতে তাদের ফোকাস সংকুচিত করার আগে সম্ভাব্য শিকারদের একটি বিস্তৃত পরিসরকে লক্ষ্যবস্তু করে থাকতে পারে। এটাও সম্ভব যে আক্রমণকারীরা, যারা বিভিন্ন স্তরের প্রযুক্তিগত দক্ষতার অধিকারী বলে মনে হয়, তারা একাধিক সংস্থার সাথে আপোস করতে চেয়েছিল।
যদিও প্রচারণার অনেক দিক সাধারণ সাইবার অপরাধমূলক কার্যকলাপের সাথে সাদৃশ্যপূর্ণ, আমরা বিশ্বাস করি এটি সম্ভবত এখনও-অজানা উদ্দেশ্যগুলি অর্জনের লক্ষ্যে একটি গুপ্তচরবৃত্তি প্রচেষ্টা। প্রচারাভিযানের উন্নত এবং চতুর কৌশলগুলির মিশ্রণ, কিছু মৌলিক কৌশলগুলির সাথে মিলিত, হুমকি অভিনেতার ক্ষমতার মূল্যায়নকে জটিল করে তোলে এবং উচ্চ আত্মবিশ্বাসের সাথে তাদের চূড়ান্ত লক্ষ্যগুলি নির্ধারণ করা চ্যালেঞ্জিং করে তোলে।
