CR4T ম্যালওয়্যার

মধ্যপ্রাচ্য জুড়ে সরকারী প্রতিষ্ঠানগুলি CR4T নামে পরিচিত পূর্বে অজানা ব্যাকডোর দিয়ে তাদের সিস্টেমে অনুপ্রবেশের লক্ষ্যে একটি গোপন আক্রমণ অভিযানের লক্ষ্যে পরিণত হয়েছে। সাইবারসিকিউরিটি বিশেষজ্ঞরা প্রথম এই কার্যকলাপটি 2024 সালের ফেব্রুয়ারিতে লক্ষ্য করেছিলেন, কিন্তু প্রমাণ থেকে বোঝা যায় যে এটি এক বছরের আগে শুরু হতে পারে। অপারেশনটি DuneQuixote হিসাবে ট্র্যাক করা হচ্ছে৷ অপরাধীরা তাদের দূষিত ইমপ্লান্টের সনাক্তকরণ এবং পরীক্ষা রোধ করতে অনেক চেষ্টা করেছে, তাদের নেটওয়ার্ক যোগাযোগ এবং ম্যালওয়্যারের ডিজাইন উভয় ক্ষেত্রেই অত্যাধুনিক ফাঁকি কৌশল ব্যবহার করেছে।

DuneQuixote অ্যাটাক চেইনের প্রাথমিক পর্যায়

আক্রমণটি একটি ড্রপার দিয়ে শুরু হয়, যা দুটি ভিন্নতায় পাওয়া যায়: একটি স্ট্যান্ডার্ড ড্রপার, হয় এক্সিকিউটেবল বা ডিএলএল আকারে এবং বৈধ টুলের জন্য একটি ম্যানিপুলেটেড ইনস্টলার ফাইল, টোটাল কমান্ডার। বৈকল্পিক নির্বিশেষে, ড্রপারের প্রাথমিক উদ্দেশ্য সামঞ্জস্যপূর্ণ থাকে: একটি এনক্রিপ্ট করা কমান্ড-এন্ড-কন্ট্রোল (C2) ঠিকানা বের করা, স্বয়ংক্রিয় ম্যালওয়্যার বিশ্লেষণ সরঞ্জামগুলি থেকে সার্ভার ঠিকানাকে সুরক্ষিত করার জন্য একটি উদ্ভাবনী ডিক্রিপশন কৌশল ব্যবহার করে।

এই পদ্ধতিতে ড্রপারের ফাইলের নাম অর্জন করা এবং ড্রপারের কোডের মধ্যে এমবেড করা স্প্যানিশ কবিতার কয়েকটি পূর্ব-সংজ্ঞায়িত অংশগুলির একটির সাথে এটিকে সংযুক্ত করা জড়িত। পরবর্তীকালে, ম্যালওয়্যারটি সম্মিলিত স্ট্রিং-এর MD5 হ্যাশ গণনা করে, যা C2 সার্ভার ঠিকানার ডিক্রিপশন কী হিসেবে কাজ করে।

একবার ডিক্রিপ্ট হয়ে গেলে, ড্রপার C2 সার্ভারের সাথে সংযোগ স্থাপন করে, HTTP অনুরোধে ব্যবহারকারী-এজেন্ট স্ট্রিং হিসাবে একটি হার্ড-কোডেড আইডি সরবরাহ করার সময় পরবর্তী পেলোড ডাউনলোড করতে এগিয়ে যায়।

সঠিক ব্যবহারকারী এজেন্ট সজ্জিত না হলে পেলোডে অ্যাক্সেস সীমাবদ্ধ। অধিকন্তু, এটা মনে হয় যে পেলোড শুধুমাত্র প্রতি লক্ষ্যমাত্রা একবারই পুনরুদ্ধারযোগ্য হতে পারে বা বন্য অঞ্চলে একটি ম্যালওয়্যার নমুনা স্থাপনের পরে সীমিত সময়ের জন্য।

বিপরীতে, ট্রোজানাইজড টোটাল কমান্ডার ইনস্টলার মূল ড্রপারের মূল কার্যকারিতা বজায় রেখে বিভিন্ন বৈচিত্র প্রদর্শন করে। এটি স্প্যানিশ কবিতার স্ট্রিংগুলিকে সরিয়ে দেয় এবং অতিরিক্ত বিশ্লেষণ-বিরোধী ব্যবস্থা প্রবর্তন করে। এই চেকগুলি C2 সার্ভারের সাথে সংযোগকে বাধা দেয় যদি সিস্টেমটি একটি ডিবাগার বা মনিটরিং টুল শনাক্ত করে, যদি কার্সার একটি নির্দিষ্ট সময়কালের পরেও স্থির থাকে, যদি উপলব্ধ RAM 8 গিগাবাইটের কম হয়, বা যদি ডিস্কের ক্ষমতা 40 গিগাবাইটের নিচে পড়ে।

CR4T ম্যালওয়্যার আক্রমণকারীদের সংক্রামিত সিস্টেমে কমান্ড চালানোর অনুমতি দেয়

CR4T ('CR4T.pdb') হল C/C++ এ লেখা একটি মেমরি-অনলি ইমপ্লান্ট। এটি আক্রমণকারীদের একটি কমান্ড-লাইন কনসোলে অ্যাক্সেস প্রদান করে যাতে আপস করা সিস্টেমে কমান্ড চালানো, ফাইল অপারেশন করা এবং C2 সার্ভার থেকে ফাইল স্থানান্তর করা যায়। অতিরিক্তভাবে, গবেষকরা CR4T-এর একটি গোলং সংস্করণ আবিষ্কার করেছেন যার মধ্যে একই ধরনের কার্যকারিতা রয়েছে, যার মধ্যে রয়েছে স্বেচ্ছাচারী আদেশ কার্যকর করা এবং Go-ole লাইব্রেরি ব্যবহার করে নির্ধারিত কাজ তৈরি করা।

তাছাড়া, গোলং CR4T ব্যাকডোর COM অবজেক্ট হাইজ্যাকিংয়ের মাধ্যমে স্থিরতা প্রয়োগ করে এবং C2 যোগাযোগের জন্য টেলিগ্রাম API ব্যবহার করে। গোলং ভেরিয়েন্টের আবির্ভাব নির্দেশ করে যে DuneQuixote প্রচারণার পিছনে অজ্ঞাত হুমকি অভিনেতারা ক্রস-প্ল্যাটফর্ম ম্যালওয়্যার দিয়ে সক্রিয়ভাবে তাদের কৌশলগুলিকে পরিমার্জন করছে।

'DuneQuixote' উদ্যোগটি মধ্যপ্রাচ্যের সত্ত্বাগুলির উপর দৃষ্টি নিবদ্ধ করে, যা গোপন এবং অধ্যবসায়ের লক্ষ্যে বিভিন্ন ধরণের সরঞ্জাম নিয়োগ করে। আক্রমণকারীরা টোটাল কমান্ডার ইনস্টলারের নকল করার মতো বৈধ সফ্টওয়্যার হিসাবে ছদ্মবেশে মেমরি-শুধু ইমপ্লান্ট এবং ড্রপার স্থাপন করে উন্নত ফাঁকি দেওয়ার ক্ষমতা এবং কৌশলগুলি প্রদর্শন করে।