একটি পূর্বে অজানা macOS স্পাইওয়্যার একটি অত্যন্ত লক্ষ্যযুক্ত প্রচারাভিযানে আবির্ভূত হয়েছে, যা অ্যাপল মেশিন থেকে নথি, কীস্ট্রোক, স্ক্রিন ক্যাপচার এবং আরও অনেক কিছু বের করে দেয়। মজার বিষয় হল, এটি একচেটিয়াভাবে হাউজিং পেলোডের জন্য এবং কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য পাবলিক ক্লাউড-স্টোরেজ পরিষেবাগুলি ব্যবহার করে - একটি অস্বাভাবিক নকশা পছন্দ যা হুমকিকে চিহ্নিত করা এবং বিশ্লেষণ করা কঠিন করে তোলে।
ESET-এর গবেষকদের দ্বারা ডাব করা CloudMensis যারা এটি আবিষ্কার করেছেন, ব্যাকডোরটি অবজেক্টিভ-সি-তে তৈরি করা হয়েছিল। এই সপ্তাহে প্রকাশিত ম্যালওয়্যার সম্পর্কে ESET-এর বিশ্লেষণ দেখায় যে প্রাথমিক সমঝোতার পরে, প্রচারণার পিছনে সাইবার আক্রমণকারীরা পরিচিত দুর্বলতাগুলি ব্যবহার করে কোড এক্সিকিউশন এবং সুবিধা বৃদ্ধি করে। তারপর, তারা একটি প্রথম-পর্যায়ের লোডার উপাদান ইনস্টল করে যা একটি ক্লাউড স্টোরেজ প্রদানকারী থেকে প্রকৃত স্পাইওয়্যার পেলোড পুনরুদ্ধার করে। দৃঢ় বিশ্লেষণ করা নমুনায়, পিক্লাউড দ্বিতীয় পর্যায়ে সঞ্চয় এবং বিতরণ করতে ব্যবহৃত হয়েছিল, কিন্তু ম্যালওয়্যারটি ড্রপবক্স এবং ইয়ানডেক্সকে ক্লাউড রিপোজিটরি হিসাবে সমর্থন করে।
গুপ্তচর উপাদান তারপর ফাইল, ইমেল সংযুক্তি, বার্তা, অডিও রেকর্ডিং, এবং কীস্ট্রোক সহ আপস করা ম্যাক থেকে সংবেদনশীল ডেটা সংগ্রহের বিষয়ে সেট করে। সব মিলিয়ে, গবেষকরা বলেছেন যে এটি অতিরিক্ত ম্যালওয়্যার ডাউনলোড করার নির্দেশ সহ 39টি ভিন্ন কমান্ড সমর্থন করে।
স্পাই এজেন্টের কাছে পাওয়া একটি পাবলিক কী ব্যবহার করে সমস্ত অপ্রাপ্ত তথ্য এনক্রিপ্ট করা হয়; এবং এটির ডিক্রিপশনের জন্য, ESET অনুসারে, ক্লাউডমেনসিস অপারেটরদের মালিকানাধীন একটি ব্যক্তিগত কী প্রয়োজন৷
ক্লাউডে স্পাইওয়্যার
প্রচারণার সবচেয়ে উল্লেখযোগ্য দিক, ম্যাক স্পাইওয়্যার একটি বিরল সন্ধান ছাড়া, বিশ্লেষণ অনুসারে, ক্লাউড স্টোরেজের একচেটিয়া ব্যবহার।
“ক্লাউডমেনসিস অপরাধীরা ড্রপবক্স বা পিক্লাউডের মতো ক্লাউড-স্টোরেজ প্রদানকারীদের অ্যাকাউন্ট তৈরি করে,” ESET-এর সিনিয়র ম্যালওয়্যার গবেষক মার্ক-এটিন এম. লেভিলি, ডার্ক রিডিংকে ব্যাখ্যা করেছেন। "ক্লাউডমেনসিস স্পাইওয়্যারে প্রমাণীকরণ টোকেন রয়েছে যা তাদের এই অ্যাকাউন্টগুলি থেকে ফাইলগুলি আপলোড এবং ডাউনলোড করতে দেয়৷ অপারেটররা যখন এর একটি বটকে একটি কমান্ড পাঠাতে চায়, তখন তারা ক্লাউড স্টোরেজে একটি ফাইল আপলোড করে। ক্লাউডমেনসিস স্পাই এজেন্ট সেই ফাইলটি আনবে, এটি ডিক্রিপ্ট করবে এবং কমান্ডটি চালাবে। অপারেটরদের ডাউনলোড এবং ডিক্রিপ্ট করার জন্য কমান্ডের ফলাফল এনক্রিপ্ট করা হয় এবং ক্লাউড স্টোরেজে আপলোড করা হয়।"
এই কৌশলটির অর্থ হল ম্যালওয়্যার নমুনাগুলিতে কোনও ডোমেন নাম বা আইপি ঠিকানা নেই, তিনি যোগ করেছেন: "এই ধরনের সূচকের অনুপস্থিতি অবকাঠামো ট্র্যাক করা এবং নেটওয়ার্ক স্তরে ক্লাউডমেনসিস ব্লক করা কঠিন করে তোলে।"
একটি উল্লেখযোগ্য পদ্ধতির সময়, এটি পিসি ওয়ার্ল্ডে আগে যেমন গ্রুপ দ্বারা ব্যবহৃত হয়েছে গোড়া (ওরফে ক্লাউড অ্যাটলাস) এবং APT37 (ওরফে রিপার বা গ্রুপ 123)। যাইহোক, "আমি মনে করি এটি প্রথমবারের মতো আমরা ম্যাক ম্যালওয়্যারে দেখেছি," M.Léveillé নোট করেছেন।
অ্যাট্রিবিউশন, ভিকটিমোলজি একটি রহস্য রয়ে গেছে
এখন পর্যন্ত, জিনিসগুলি, ভাল, মেঘলা যখন এটি হুমকির উদ্ভবের ক্ষেত্রে আসে। একটি বিষয় যা স্পষ্ট যে অপরাধীদের উদ্দেশ্য হল গুপ্তচরবৃত্তি এবং বুদ্ধিবৃত্তিক সম্পত্তি চুরি - সম্ভাব্য হুমকির ধরণ সম্পর্কে একটি সূত্র, যেহেতু গুপ্তচরবৃত্তি ঐতিহ্যগতভাবে উন্নত ক্রমাগত হুমকি (APTs) এর ডোমেইন।
যাইহোক, ইএসইটি যে নিদর্শনগুলিকে আক্রমণ থেকে উন্মোচন করতে সক্ষম হয়েছিল তা পরিচিত অপারেশনগুলির সাথে কোনও সম্পর্ক দেখায়নি।
M.Léveillé বলেছেন, "আমরা এই প্রচারাভিযানটিকে একটি পরিচিত গোষ্ঠীকে দায়ী করতে পারিনি, না কোডের মিল বা অবকাঠামো থেকে।"
আরেকটি সূত্র: প্রচারাভিযানটিও শক্তভাবে লক্ষ্যবস্তু করা হয় — সাধারণত আরও পরিশীলিত অভিনেতাদের বৈশিষ্ট্য।
"ক্লাউডমেনসিস দ্বারা ব্যবহৃত ক্লাউড স্টোরেজ অ্যাকাউন্টগুলির মেটাডেটা প্রকাশ করেছে যে আমরা যে নমুনাগুলি বিশ্লেষণ করেছি তা 51 ফেব্রুয়ারী এবং 4 এপ্রিলের মধ্যে 22টি ম্যাকে চালানো হয়েছে," M.Léveillé বলেছেন৷ দুর্ভাগ্যবশত, "আমাদের কাছে ক্ষতিগ্রস্তদের ভৌগলিক অবস্থান বা উল্লম্ব সম্পর্কে কোন তথ্য নেই কারণ ফাইলগুলি ক্লাউড স্টোরেজ থেকে মুছে ফেলা হয়েছে।"
যাইহোক, প্রচারণার এপিটি-ইশ দিকগুলিকে মোকাবেলা করে, ম্যালওয়্যারের পরিশীলিত স্তরটি ততটা চিত্তাকর্ষক নয়, ESET উল্লেখ করেছে।
"কোডের সাধারণ গুণমান এবং অস্পষ্টতার অভাব দেখায় যে লেখকরা ম্যাক ডেভেলপমেন্টের সাথে খুব বেশি পরিচিত নাও হতে পারে এবং ততটা উন্নত নয়," অনুসারে প্রতিবেদনটি.
M.Léveillé ক্লাউডমেনসিসকে একটি মাঝারি-উন্নত হুমকি হিসাবে চিহ্নিত করেছেন, এবং উল্লেখ করেছেন যে ভিন্ন এনএসও গ্রুপের শক্তিশালী পেগাসাস স্পাইওয়্যার, ক্লাউডমেনসিস তার কোডে কোনো শূন্য-দিনের শোষণ তৈরি করে না।
"আমরা ক্লাউডমেনসিস অ্যাপলের নিরাপত্তা বাধাগুলিকে বাইপাস করার জন্য অপ্রকাশিত দুর্বলতা ব্যবহার করতে দেখিনি," এম লেভিলি বলেছেন৷ “তবে, আমরা দেখতে পেয়েছি যে ক্লাউডমেনসিস ম্যাকগুলিতে পরিচিত দুর্বলতা (একদিন বা এন-ডে নামেও পরিচিত) ব্যবহার করেছে যা [নিরাপত্তা প্রশমনকে বাইপাস করতে] macOS এর সর্বশেষ সংস্করণ চালায় না। আমরা জানি না কিভাবে ক্লাউডমেনসিস স্পাইওয়্যার ভিকটিমদের ম্যাকগুলিতে ইনস্টল করা হয়েছে তাই সম্ভবত তারা সেই উদ্দেশ্যে অপ্রকাশিত দুর্বলতাগুলি ব্যবহার করে, তবে আমরা কেবল অনুমান করতে পারি। এটি ক্লাউডমেনসিসকে পরিশীলিততার স্কেলে মাঝখানে কোথাও রাখে, গড়ের চেয়ে বেশি, তবে সবচেয়ে পরিশীলিতও নয়।"
ক্লাউডমেনসিস এবং স্পাইওয়্যার থেকে আপনার ব্যবসাকে কীভাবে রক্ষা করবেন
ক্লাউডমেনসিস হুমকির শিকার হওয়া এড়াতে, ESET-এর মতে, macOS প্রশমনের আশেপাশে কাজ করার জন্য দুর্বলতার ব্যবহার মানে হল আপ-টু-ডেট Macs চালানো ব্যবসার জন্য প্রথম প্রতিরক্ষার লাইন। যদিও এই ক্ষেত্রে প্রাথমিক-সমঝোতা ভেক্টরটি জানা নেই, তবে শক্তিশালী পাসওয়ার্ড এবং ফিশিং-সচেতনতা প্রশিক্ষণের মতো বাকি সমস্ত মৌলিক বিষয়গুলি বাস্তবায়ন করাও একটি ভাল প্রতিরক্ষা।
গবেষকরাও চালু করার পরামর্শ দিয়েছেন অ্যাপলের নতুন লকডাউন মোড বৈশিষ্ট্য।
"অ্যাপল সম্প্রতি তার পণ্যগুলির ব্যবহারকারীদের লক্ষ্য করে স্পাইওয়্যারের উপস্থিতি স্বীকার করেছে এবং iOS, iPadOS এবং macOS-এ লকডাউন মোডের পূর্বরূপ দেখছে, যা কোড এক্সিকিউশন লাভ করতে এবং ম্যালওয়্যার স্থাপন করার জন্য ঘন ঘন শোষিত বৈশিষ্ট্যগুলিকে নিষ্ক্রিয় করে," বিশ্লেষণ অনুসারে৷ "এন্ট্রি পয়েন্টগুলি অক্ষম করা, কম তরল ব্যবহারকারীর অভিজ্ঞতার ব্যয়ে, আক্রমণের পৃষ্ঠকে হ্রাস করার একটি যুক্তিসঙ্গত উপায় বলে মনে হচ্ছে।"
সর্বোপরি, M.Léveillé ব্যবসাগুলিকে সতর্ক করে যে ম্যাকগুলির ক্ষেত্রে নিরাপত্তার একটি মিথ্যা অনুভূতির মধ্যে ঠেলে দেওয়ার বিরুদ্ধে। যদিও ম্যালওয়্যার টার্গেটিং ম্যাকগুলি ঐতিহ্যগতভাবে উইন্ডোজ বা লিনাক্সের হুমকির তুলনায় কম প্রচলিত ছিল, যে এখন পরিবর্তন হচ্ছে.
"ব্যবসায়ীরা তাদের বহরে ম্যাক ব্যবহার করে তাদের একইভাবে সুরক্ষিত করা উচিত যেভাবে তারা উইন্ডোজ বা অন্য কোন অপারেটিং সিস্টেম চালিত কম্পিউটারগুলিকে রক্ষা করবে," তিনি সতর্ক করেছেন। "বছরের পর বছর ম্যাকের বিক্রয় বৃদ্ধির সাথে, তাদের ব্যবহারকারীরা আর্থিকভাবে অনুপ্রাণিত অপরাধীদের জন্য একটি আকর্ষণীয় লক্ষ্য হয়ে উঠেছে। অপারেটিং সিস্টেম নির্বিশেষে রাষ্ট্র-স্পন্সর করা হুমকি গোষ্ঠীগুলির কাছে তাদের লক্ষ্যগুলির সাথে খাপ খাইয়ে নেওয়ার এবং তাদের মিশনগুলি পূরণ করার জন্য প্রয়োজনীয় ম্যালওয়্যার বিকাশ করার সংস্থান রয়েছে।"
