🛡️ OneClik: এনার্জি ও গ্যাস সেক্টরে ভয়ঙ্কর সাইবার হানা, Microsoft ClickOnce ও Golang Backdoor ব্যবহৃত
🛡️ Bug Mohol প্রতিবেদন | ২৯ জুন ২০২৫
সাইবার দুনিয়া প্রতিনিয়তই বদলাচ্ছে। সেই সঙ্গে বদলাচ্ছে হ্যাকারদের কৌশলও। আর ঠিক সেই মুহূর্তে, ২০২৫ সালের জুনে সামনে এলো এক ভয়ঙ্কর নতুন সাইবার হুমকির নাম — “OneClik”। এই অভিযান মূলত বিশ্বের এনার্জি, তেল ও গ্যাস খাতকে টার্গেট করেছে, যেখানে ব্যবহার করা হয়েছে Microsoft-এর ClickOnce প্রযুক্তি এবং এক ধরনের কাস্টম Go (Golang)-based backdoor।
🧬 OneClik কীভাবে কাজ করে?
এই হ্যাকিং ক্যাম্পেইনের পুরো লক্ষ্য হলো "living-off-the-land" কৌশল ব্যবহার করে প্রতিষ্ঠানের ভেতরেই নিজেকে লুকিয়ে রাখা — যেন ক্লাসিক অ্যান্টিভাইরাস, ইডিআর, বা ফায়ারওয়াল এই আক্রমণকে ধরতে না পারে। Trellix এর গবেষক Nico Paulo Yturriaga এবং Pham Duy Phuc বিস্তারিত জানিয়ে বলেন, OneClik এর কার্যক্রম মূলত ক্লাউড, Windows binaries এবং ফিশিং টেকনিককে কেন্দ্র করে গঠিত।
এই আক্রমণে হ্যাকাররা প্রথমে ফিশিং ইমেইল পাঠায়, যেখানে থাকে একটি ভুয়া হার্ডওয়্যার অ্যানালাইসিস ওয়েবসাইটের লিংক। এই সাইটে প্রবেশ করলে ClickOnce প্রযুক্তির মাধ্যমে ইনস্টল হয় একটি .NET Loader — যেটার নাম OneClikNet। এরপর এটি ইনজেক্ট করে একটি শক্তিশালী Golang backdoor যার কোডনেম RunnerBeacon।
ClickOnce কী?
ClickOnce Microsoft-এর একটি ডিপ্লয়মেন্ট টুলসেট, যা ইউজারকে খুব সহজে অ্যাপ ইনস্টল করার সুযোগ দেয়। এই পদ্ধতিতে অ্যাপ্লিকেশন dfsvc.exe নামক সিস্টেম প্রসেসের মাধ্যমে রান হয়, যা Windows-এ ট্রাস্টেড। হ্যাকাররা এই dfsvc.exe এর অধীনে malicious payload রান করে যেন তা detect না হয়।
💣 RunnerBeacon: ভয়ঙ্কর Golang Backdoor
RunnerBeacon মূলত একটি modular, flexible এবং stealthy backdoor। এটি attacker-এর C2 (Command & Control) সার্ভারের সঙ্গে HTTP(S), WebSocket, TCP ও SMB named pipe এর মাধ্যমে যোগাযোগ করে। এর মাধ্যমে এটি করতে পারে:
- Shell command execute
- Running process enumerate ও terminate
- File read/write/delete
- Privilege escalation via token impersonation
- Lateral movement across the network
- Port scanning, SOCKS5 proxy এবং Port forwarding
RunnerBeacon-এ রয়েছে anti-analysis ও sandbox detection, যার ফলে এটা sandbox বা VM detect করে নিজের আচরণ পাল্টাতে পারে। এটা traditional signature-based antivirus-এর চোখ ফাঁকি দিয়ে কাজ চালাতে পারে।
🔁 Geacon-এর ক্লোন?
Trellix জানিয়েছে, এই backdoor এর কার্যপ্রণালী Go-ভাষায় লেখা Cobalt Strike Beacon-এর ভ্যারিয়েন্ট Geacon এর মতোই। অনেকাংশে মনে হচ্ছে এটি হয় Geacon-এর একটি evolved version, নয়তো কোনও threat actor-এর নিজস্ব fork। এটি কাস্টমাইজ করে stealth ও cloud integration উপযোগী করা হয়েছে।
🧪 AppDomainManager Injection: ইঞ্জেকশনের নতুন ছক
এই ক্যাম্পেইনে AppDomainManager Injection ব্যবহার করে এক ধরনের encrypted shellcode মেমোরিতে inject করা হয়। এরপর এই shellcode Executable Loader-এর মাধ্যমে RunnerBeacon চালু করে দেয়। এটি মূলত .NET framework exploitation এর একাংশ, যেটা বিভিন্ন APT গ্রুপ অতীতে ব্যবহার করেছে।
🔥 তিনটি সংস্করণ ইতিমধ্যেই শনাক্ত
মাত্র মার্চ ২০২৫ এর মধ্যেই OneClik-এর তিনটি আলাদা সংস্করণ ধরা পড়েছে:
- v1a
- BPI-MDM
- v1d
প্রতিটি নতুন ভার্সন আগের চেয়ে আরও বেশি stealth ও detection evasion সক্ষম। RunnerBeacon-এর একটি পুরাতন ভার্সন ২০২৩ সালের সেপ্টেম্বরে মধ্যপ্রাচ্যের একটি তেল কোম্পানিতে পাওয়া গিয়েছিল।
🕵️ কে এই হামলার পেছনে?
যদিও Trellix সরাসরি কোনও রাষ্ট্রীয় বা অপরাধী গোষ্ঠীর দিকে আঙুল তোলে নি, তবে হামলার ধরন ও প্রযুক্তিগত মিল দেখে অনেকেই মনে করছেন এটি চীন সম্পর্কিত হ্যাকার গ্রুপের কাজ হতে পারে।
QiAnXin এর রিপোর্ট: APT-Q-14
চীনা সাইবার নিরাপত্তা সংস্থা QiAnXin জানায়, তারা APT-Q-14 নামের একটি গ্রুপকে শনাক্ত করেছে যারা ClickOnce exploit করে zero-day XSS vulnerability ব্যবহার করেছে একটি অজানা ইমেইল প্ল্যাটফর্মে।
এই XSS flaw triggered হয় ইমেইল ওপেন করলেই — ইউজার না বুঝেই একটি ClickOnce অ্যাপ্লিকেশন ডাউনলোড করে ফেলে। অ্যাপটি ইনস্টল হলে ইউজারের সিস্টেম থেকে তথ্য চুরি করে একটি C2 সার্ভারে পাঠিয়ে দেয়।
APT-Q-14 এর সঙ্গে পূর্বে শনাক্ত হওয়া APT-Q-12 (Pseudo Hunter) এবং APT-Q-15 এর মিল রয়েছে। এদের সবাইকে বড় গ্রুপ DarkHotel (APT-C-06) এর অংশ বলে মনে করা হচ্ছে।
💥 DarkHotel-এর নতুন কৌশল: BYOVD
২০২৫ সালের ফেব্রুয়ারিতে Beijing-এর 360 Threat Intelligence প্রকাশ করে, DarkHotel হ্যাকাররা BYOVD (Bring Your Own Vulnerable Driver) কৌশল ব্যবহার করেছে। এর মাধ্যমে তারা Microsoft Defender অচল করে fake MSI installer দিয়ে malware ইনস্টল করেছে।
এই অভিযানের লক্ষ্য ছিল উত্তর কোরিয়াভিত্তিক ব্যবসায়ী ও প্রতিষ্ঠান। গবেষকদের মতে, DarkHotel এখন পুরাতন ওয়েপনাইজড এক্সপ্লয়ট-এর বদলে নতুন delivery method ও social engineering কৌশলকে গুরুত্ব দিচ্ছে।
🔐 কীভাবে নিজেকে নিরাপদ রাখবেন?
- 🎣 অজানা ইমেইলের লিংকে ক্লিক করবেন না
- 🧱 ClickOnce অ্যাপ ইনস্টল করার আগে পুঙ্খানুপুঙ্খভাবে যাচাই করুন
- 🛑 Scripting-enabled Email Client এ rendering বন্ধ রাখুন
- 🧠 Network এবং Endpoint Detection & Response (EDR) চালু রাখুন
- 🕵️ Zero Trust Architecture বাস্তবায়ন করুন
- 🔒 MFA (Multi-Factor Authentication) সক্রিয় রাখুন
🧩 উপসংহার
OneClik একটি নতুন ধরনের পরিশীলিত সাইবার হুমকি, যেটি প্রমাণ করে আজকের হ্যাকাররা কেবল vulnerability exploit করছে না, বরং legitimate software এবং trusted system binary গুলোকে অস্ত্র বানিয়ে নিরব ও মরণঘাতী আক্রমণ করছে।
Bug Mohol সবসময় আপনাকে হ্যাকারদের চোখ দিয়ে বিশ্বের সাইবার হুমকির বাস্তবতা দেখাতে চায়। নিজের ও আপনার প্রতিষ্ঠানের নিরাপত্তা নিশ্চিত করুন, সচেতন থাকুন।
📚 আরও পড়ুন:
- 👉 VS Code Extension মার্কেটপ্লেসে ভয়াবহ ফাঁস: মিলিয়ন ডেভেলপার Supply Chain ঝুঁকিতে | Bug Mohol
- 👉 ফ্রি RDP বানান ২০২৫ সালে – ১ ক্লিকেই ✅
- 👉 Google, Facebook, Apple – ১৬ বিলিয়ন পাসওয়ার্ড ফাঁস! 😱
- 👉 Anubis Ransomware: ফাইল এনক্রিপ্ট, ডিলিট, ব্ল্যাকমেইল 🎯
- 👉 Apple Zero Click: Paragon Graphite স্পাইওয়্যার বিপদে iPhone 🔍
- 👉 WordPress Hack: VexTrio গ্লোবাল স্ক্যাম নেটওয়ার্ক উন্মোচন 🌐
🔗 যোগ দিন: Bug Mohol Telegram চ্যানেল
