'লে জুয়ান সন্স' চাকরির আবেদনপত্রের সিভি খোলার সময় সতর্ক থাকুন

ভিয়েতনামে ব্যবসাগুলিকে লক্ষ্য করে একটি নতুন সাইবার আক্রমণ অভিযান শুরু হয়েছে। চিত্রের ছবি: ব্লুমবার্গ।

SEQRITE ল্যাবসের নিরাপত্তা গবেষকরা একটি অত্যাধুনিক সাইবার আক্রমণ অভিযান আবিষ্কার করেছেন। "অপারেশন হ্যানয় থিফ" নামে পরিচিত এই অভিযানটি ভিয়েতনামের আইটি বিভাগ এবং নিয়োগ সংস্থাগুলিকে লক্ষ্য করে সিভি ছদ্মবেশে চালানো হয়।

৩ নভেম্বর প্রথম আবিষ্কৃত হয়, হ্যাকাররা চাকরির আবেদনের সিভি ছদ্মবেশে ম্যালওয়্যার ছড়িয়ে দেওয়ার কৌশল ব্যবহার করে। আক্রমণকারীদের লক্ষ্য ছিল অভ্যন্তরীণ নেটওয়ার্কে অনুপ্রবেশ করা, সিস্টেম দখল করা এবং গ্রাহকদের তথ্য এবং ব্যবসায়িক গোপনীয়তা চুরি করা।

ম্যালওয়্যার কীভাবে কাজ করে

নিরাপত্তা বিশেষজ্ঞদের মতে, আক্রমণকারী চাকরির আবেদনপত্র সহ একাধিক ইমেল পাঠিয়েছিল, যার মধ্যে "Le Xuan Son CV.zip" ফাইলটি সংযুক্ত ছিল। আনজিপ করার সময়, এতে দুটি ফাইল ছিল, একটির নাম "CV.pdf.lnk" এবং অন্যটির নাম "offsec-certified-professional.png"।

যেহেতু এটি একটি PDF এবং PNG আইকন হিসেবে ছদ্মবেশ ধারণ করে, ব্যবহারকারীরা এটিকে একটি সাধারণ CV ফাইল ভেবে ভুল করতে পারেন। ক্লিক করলে, ফাইলটি LOTUSHARVEST ভাইরাস সক্রিয় করবে, যা পাসওয়ার্ড তথ্য, অ্যাক্সেস ইতিহাস সংগ্রহ করতে এবং তারপর হ্যাকারের সার্ভারে পাঠাতে বিশেষজ্ঞ।

GBHackers- এর মতে, হ্যানয়ের Le Xuan Son নামের জাল সিভিটি ২০২১ সাল থেকে একটি GitHub অ্যাকাউন্ট ব্যবহার করে আসছে। তবে, গবেষকরা আবিষ্কার করেছেন যে এই অ্যাকাউন্টটি কোনও তথ্য পোস্ট করেনি, সম্ভবত আক্রমণ প্রচারণা চালানোর জন্য।

আক্রমণটি তিনটি ধাপে এগিয়ে যায়। LNK ফাইল খোলার পর, এটি উইন্ডোজে তৈরি ftp.exe টুলের মাধ্যমে একটি বিশেষ কমান্ড ট্রিগার করে। এটি একটি পুরানো এবং আর সাধারণ কৌশল নয় যা ম্যালওয়্যারকে মৌলিক নিয়ন্ত্রণগুলিকে বাইপাস করতে দেয়।

"লে জুয়ান সন" নামে সিভি পাঠিয়ে ব্যবসা প্রতিষ্ঠানগুলোকে প্রতারণা করছে হ্যাকাররা। ছবি: SEQRITE ।

দ্বিতীয় ধাপে, সিস্টেমটিকে এখনও বোকা বানানো হয় এই ভেবে যে এটি একটি PDF বা প্লেইন টেক্সট ফাইল। যাইহোক, আরও বিশ্লেষণের পর, গবেষকরা আবিষ্কার করেন যে PDF ফাইল শুরু হওয়ার আগে ক্ষতিকারক কোডটি লুকিয়ে ঢোকানো হয়েছিল।

ম্যালওয়্যারটি তৎক্ষণাৎ কাজ শুরু করে, সনাক্তকরণ এড়াতে উইন্ডোজে উপলব্ধ certutil.exe টুলের নাম পরিবর্তন করে এবং চূড়ান্ত ক্ষতিকারক ফাইল প্যাকেজ ধারণকারী ডেটা বের করে। কমান্ড লাইনটি সিস্টেমকে বোকা বানানোর জন্য ফাইলটির নাম পরিবর্তন করে "CV-Nguyen-Van-A.pdf" করতে থাকে, তারপর "MsCtfMonitor.dll" নামে একটি ফাইল বের করে ডিক্রিপ্ট করে, এটি C:\ProgramData ফোল্ডারে রাখে।

System32 থেকে ctfmon.exe ফাইলটি একই ফোল্ডারে অনুলিপি করে, আক্রমণকারী DLL হাইজ্যাকিং কৌশলটি কাজে লাগিয়েছে, যার ফলে সিস্টেমটি স্বাভাবিক প্রোগ্রামের পরিবর্তে ক্ষতিকারক ফাইলটি চালাচ্ছে।

অবশেষে, LOTUSHARVEST ম্যালওয়্যারটি তথ্য চুরি করার জন্য সক্রিয় করা হয়। এই ডেটাতে Chrome এবং Edge ব্রাউজারগুলির লগইন তথ্য, সাম্প্রতিকতম পরিদর্শন করা 20টি URL সহ সম্পর্কিত মেটাডেটা অন্তর্ভুক্ত রয়েছে।

চুরি করা তথ্য উইন্ডোজের WinINet API এর মাধ্যমে হ্যাকারের অবকাঠামোতে প্রেরণ করা হয়। সফ্টওয়্যারটি সার্ভারে একটি পরিচয় প্রোফাইল তৈরি করতে কম্পিউটারের নাম এবং ব্যবহারকারীর নামও যোগ করে।

ভিয়েতনামী ব্যবসা প্রতিষ্ঠানগুলোর সুরক্ষা জোরদার করা প্রয়োজন

আক্রমণ অভিযানের উদ্বেগজনক দিক হল LOTUSHARVEST নিজেকে লুকিয়ে রাখার এবং নিজে নিজে কাজ করার ক্ষমতা রাখে। ম্যালওয়্যারটি লাইব্রেরি লোডিং প্রক্রিয়ার সুযোগ নিয়ে দীর্ঘমেয়াদী নিয়ন্ত্রণ বজায় রাখে এবং সংবেদনশীল অ্যাকাউন্ট এবং ডেটা অ্যাক্সেস করে, প্রচলিত সুরক্ষা ব্যবস্থার সুরক্ষার বাইরেও।

মূল্যায়ন অনুসারে, চুরি করা তথ্য হ্যাকারদের জন্য তাদের অনুপ্রবেশ প্রসারিত করার, বিপজ্জনক সরঞ্জাম ব্যবহার করার এবং পরবর্তী পর্যায়ে ব্যবসাগুলিকে বহু-স্তরীয় আক্রমণ বা চাঁদাবাজির লক্ষ্যবস্তুতে পরিণত করার "চাবিকাঠি" হয়ে উঠতে পারে।

“প্রতিটি ইঙ্গিতই দিচ্ছে যে হ্যানয় থিফ অভিযানটি অত্যন্ত সতর্কতার সাথে পরিকল্পিত ছিল, সরাসরি ভিয়েতনামী ব্যবসাগুলিকে লক্ষ্য করে।

"রিক্রুটমেন্ট ডিপার্টমেন্ট, যা নিয়মিতভাবে বাইরে থেকে আবেদনপত্র গ্রহণ করে কিন্তু সাইবার নিরাপত্তা সচেতনতায় সম্পূর্ণরূপে সজ্জিত নয়, তার সুযোগ নিয়ে হ্যাকাররা সিভি বা নথির আকারে জাল ফাইল ব্যবহার করে এবং ক্রমাগত বিভিন্ন রূপে রূপান্তরিত হতে পারে, যার ফলে সংক্রমণের ঝুঁকি অপ্রত্যাশিত হয়ে ওঠে," বলেন Bkav-এর ম্যালওয়্যার বিশ্লেষণ বিশেষজ্ঞ মিঃ নগুয়েন দিন থুই।

স্ক্রিপ্টগুলি ম্যালওয়্যারের লগইন এবং অ্যাক্সেস ইতিহাস বের করে। ছবি: SEQRITE ।

Bkav-এর মতে, ভিয়েতনামী প্রতিষ্ঠানগুলি আক্রমণ অভিযানের শিকার হয়েছে। LOTUSHARVEST এবং হ্যানয় থিফ অভিযানের বিপজ্জনক প্রকৃতির কারণে, ব্যবহারকারীদের ইমেলের মাধ্যমে প্রাপ্ত নথিগুলির বিষয়ে অত্যন্ত সতর্ক থাকতে হবে।

ব্যবসা প্রতিষ্ঠান এবং প্রতিষ্ঠানগুলিকে নিয়মিতভাবে কর্মীদের জন্য পর্যায়ক্রমিক প্রশিক্ষণ পরিচালনা করতে হবে, অনলাইন জালিয়াতির কৌশলের বিরুদ্ধে সচেতনতা বৃদ্ধি করতে হবে এবং সতর্কতা অবলম্বন করতে হবে। অস্বাভাবিক লাইব্রেরি বা সন্দেহজনক ফাইল পর্যবেক্ষণ করে অভ্যন্তরীণ পর্যবেক্ষণ ব্যবস্থা শক্তিশালী করতে হবে।

অপারেটিং সিস্টেমের ডিফল্ট টুলগুলি কেবলমাত্র মৌলিক সুরক্ষা চাহিদা পূরণ করে, আধুনিক ম্যালওয়্যার এবং ভাইরাসগুলির বিরুদ্ধে লড়াই করার জন্য যথেষ্ট নয় যা লুকিয়ে থাকতে পারে, দীর্ঘ সময় ধরে টিকে থাকতে পারে এবং সিস্টেমের গভীরে প্রবেশ করতে পারে। অতএব, সর্বোত্তম সুরক্ষার জন্য একটি ইমেল মনিটরিং সিস্টেম ইনস্টল করা এবং লাইসেন্সপ্রাপ্ত অ্যান্টি-ভাইরাস সফ্টওয়্যার ব্যবহার করা প্রয়োজন।

সূত্র: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html