ক্যাসপারস্কি একটি নতুন সাইবার ক্রাইম গ্রুপ আবিষ্কার করেছে। গোল্ডেনজ্যাকাল নামক এই গোষ্ঠীটি 2019 সাল থেকে সক্রিয় রয়েছে কিন্তু কোনো পাবলিক প্রোফাইল নেই এবং এটি মূলত একটি রহস্য রয়ে গেছে। গবেষণা থেকে প্রাপ্ত তথ্য অনুযায়ী, গ্রুপটি মূলত মধ্যপ্রাচ্য ও দক্ষিণ এশিয়ার সরকারি ও কূটনৈতিক প্রতিষ্ঠানগুলোকে টার্গেট করে।
ক্যাসপারস্কি 2020 সালের মাঝামাঝি সময়ে গোল্ডেনজাকাল পর্যবেক্ষণ শুরু করে। এই গোষ্ঠীটি একজন দক্ষ এবং মাঝারিভাবে ক্লোকড হুমকি অভিনেতার সাথে মিলে যায় এবং কার্যকলাপের একটি ধারাবাহিক প্রবাহ প্রদর্শন করে। গ্রুপের প্রধান বৈশিষ্ট্য হল তাদের লক্ষ্য কম্পিউটার হাইজ্যাক করা, অপসারণযোগ্য ড্রাইভের মাধ্যমে সিস্টেমের মধ্যে ছড়িয়ে দেওয়া এবং নির্দিষ্ট ফাইল চুরি করা। এটি দেখায় যে হুমকি অভিনেতার মূল উদ্দেশ্য গুপ্তচরবৃত্তি।
ক্যাসপারস্কির গবেষণা অনুসারে, হুমকি অভিনেতা জাল স্কাইপ ইনস্টলার এবং দূষিত ওয়ার্ড নথিগুলি আক্রমণের জন্য প্রাথমিক ভেক্টর হিসাবে ব্যবহার করেন। জাল স্কাইপ ইনস্টলারটি প্রায় 400 MB এর একটি এক্সিকিউটেবল ফাইল নিয়ে গঠিত এবং এতে JackalControl Trojan এবং একটি বৈধ স্কাইপ ফর বিজনেস ইনস্টলার রয়েছে৷ এই টুলের প্রথম ব্যবহার 2020 সালে। আরেকটি সংক্রমণ ভেক্টর একটি দূষিত নথির উপর ভিত্তি করে তৈরি করা হয়েছে যা ফোলিনা দুর্বলতাকে কাজে লাগায়, একটি উদ্দেশ্য-নির্মিত HTML পৃষ্ঠা ডাউনলোড করতে একটি দূরবর্তী টেমপ্লেট ইনজেকশন কৌশল ব্যবহার করে।
নথিটির শিরোনাম “Gallery of Officers Who Have Received National and Foreign Awards.docx” এবং এটি পাকিস্তান সরকার কর্তৃক পুরস্কৃত কর্মকর্তাদের সম্পর্কে তথ্যের অনুরোধ করার জন্য একটি বৈধ সার্কুলার বলে মনে হচ্ছে। Follina দুর্বলতার তথ্য প্রথম ভাগ করা হয়েছিল 29 মে, 2022-এ এবং নথিটি 1 জুন পরিবর্তন করা হয়েছিল, রেকর্ড অনুসারে, দুর্বলতা প্রকাশের দুই দিন পরে। নথিটি প্রথম দেখা যায় ২ জুন। একটি বৈধ এবং আপস করা ওয়েবসাইট থেকে একটি বহিরাগত বস্তু লোড করার জন্য কনফিগার করা বাহ্যিক নথি অবজেক্ট ডাউনলোড করার পরে JackalControl ট্রোজান ম্যালওয়্যার ধারণকারী এক্সিকিউটেবল চালু করা।
জ্যাকল কন্ট্রোল আক্রমণ, দূর থেকে নিয়ন্ত্রিত
জ্যাকালকন্ট্রোল আক্রমণ প্রধান ট্রোজান হিসাবে কাজ করে যা আক্রমণকারীদের দূরবর্তীভাবে লক্ষ্য মেশিন নিয়ন্ত্রণ করতে দেয়। কয়েক বছর ধরে, আক্রমণকারীরা এই ম্যালওয়্যারের বিভিন্ন রূপ বিতরণ করছে। কিছু ভেরিয়েন্টে তাদের স্থায়িত্ব বজায় রাখার জন্য অতিরিক্ত কোড থাকে, অন্যগুলি সিস্টেমকে সংক্রামিত না করে কাজ করার জন্য কনফিগার করা হয়। মেশিনগুলি প্রায়ই অন্যান্য উপাদান যেমন ব্যাচ স্ক্রিপ্টের মাধ্যমে সংক্রামিত হয়।
গোল্ডেনজ্যাকাল গ্রুপের দ্বারা ব্যাপকভাবে ব্যবহৃত দ্বিতীয় গুরুত্বপূর্ণ টুল হল জ্যাক্যালস্টিল। এই টুলটি অপসারণযোগ্য ইউএসবি ড্রাইভ, রিমোট শেয়ার এবং টার্গেট করা সিস্টেমে সমস্ত লজিক্যাল ড্রাইভ নিরীক্ষণ করতে ব্যবহার করা যেতে পারে। ম্যালওয়্যারটি একটি আদর্শ প্রক্রিয়া বা পরিষেবা হিসাবে চলতে পারে। যাইহোক, এটি তার স্থিরতা বজায় রাখতে পারে না এবং তাই অন্য উপাদান দ্বারা লোড করা প্রয়োজন।
অবশেষে, GoldenJackal অনেকগুলি অতিরিক্ত টুল ব্যবহার করে যেমন JackalWorm, JackalPerInfo এবং JackalScreenWatcher। এই সরঞ্জামগুলি ক্যাসপারস্কি গবেষকদের দ্বারা প্রত্যক্ষ করা নির্দিষ্ট পরিস্থিতিতে ব্যবহার করা হয়। এই টুলকিটের লক্ষ্য ভিকটিমদের মেশিন নিয়ন্ত্রণ করা, শংসাপত্র চুরি করা, ডেস্কটপের স্ক্রিনশট নেওয়া এবং চূড়ান্ত লক্ষ্য হিসেবে গুপ্তচরবৃত্তির প্রবণতা নির্দেশ করা।
ক্যাসপারস্কি গ্লোবাল রিসার্চ অ্যান্ড অ্যানালাইসিস টিমের (GReAT) সিনিয়র সিকিউরিটি রিসার্চার জিয়াম্পাওলো ডেডোলা বলেছেন:
“গোল্ডেন জ্যাকাল একজন আকর্ষণীয় এপিটি অভিনেতা তার লো প্রোফাইলের সাথে দৃষ্টির বাইরে থাকার চেষ্টা করছেন। 2019 সালের জুনে প্রথম অপারেশন শুরু করা সত্ত্বেও, তারা লুকিয়ে থাকতে সক্ষম হয়েছে। একটি উন্নত ম্যালওয়্যার টুলকিট সহ, এই অভিনেতা মধ্যপ্রাচ্য এবং দক্ষিণ এশিয়ার পাবলিক এবং কূটনৈতিক সংস্থাগুলির উপর তার আক্রমণে অত্যন্ত ফলপ্রসূ হয়েছে৷ যেহেতু কিছু ম্যালওয়্যার এম্বেড এখনও বিকাশের মধ্যে রয়েছে, তাই এই অভিনেতার সম্ভাব্য আক্রমণের জন্য সাইবার সিকিউরিটি টিমের নজর রাখা অত্যন্ত গুরুত্বপূর্ণ। আমরা আশা করি আমাদের বিশ্লেষণ গোল্ডেনজ্যাকালের কার্যকলাপ প্রতিরোধে সাহায্য করবে।"