উত্তর কোরিয়ান হ্যাকারদের নতুন নিশানা: Web3, Nim Malware এবং ClickFix Social Engineering
Reported By: Bug Mohol Cyber Desk | Date: ৬ জুলাই ২০২৫
উত্তর কোরিয়ার হ্যাকাররা আবারও সাইবার দুনিয়ায় ত্রাস সৃষ্টি করেছে। এবার তাদের মূল টার্গেট হয়েছে Web3 এবং ক্রিপ্টোকারেন্সি ব্যবসা। SentinelOne এর গবেষকরা সম্প্রতি এক চাঞ্চল্যকর প্রতিবেদনে প্রকাশ করেছেন, উত্তর কোরিয়ান হ্যাকাররা Nim প্রোগ্রামিং ল্যাঙ্গুয়েজ দিয়ে তৈরি একটি নতুন ম্যালওয়্যার ব্যবহার করছে, যার নাম NimDoor।
বিশ্লেষকদের মতে, এই ম্যালওয়্যারটি বিশেষভাবে macOS এর জন্য ডিজাইন করা হয়েছে, যেখানে তারা process injection এবং encrypted WebSocket (wss) কমিউনিকেশন ব্যবহার করছে। আরও আশ্চর্যের বিষয়, এই ম্যালওয়্যারটি এমনভাবে প্রোগ্রাম করা হয়েছে যাতে এটি সিস্টেম রিবুটের পরেও নিজে নিজে সক্রিয় হয়ে ওঠে।
মূল আক্রমণের ধরন খুবই সূক্ষ্ম ও ভয়ঙ্কর। হ্যাকাররা প্রথমে Telegram-এর মতো মেসেজিং প্ল্যাটফর্মে ভিক্টিমদের টার্গেট করে। তারা ভুয়া Zoom মিটিংয়ের লিংক পাঠায়, Calendly ব্যবহার করে মিটিং শিডিউল দেখায়। এরপর ইমেইলের মাধ্যমে Zoom SDK আপডেট করার কথা বলে AppleScript পাঠায়, যেটি মূলত আরও মারাত্মক স্ক্রিপ্ট ডাউনলোড করে এবং তথ্য চুরির কাজ শুরু করে।
NimDoor Malware এর ভয়াবহতা
এই ম্যালওয়্যারের মূল ইঞ্জিন হলো C++ Loader, যার নাম InjectWithDyldArm64। এটি দুটি এনক্রিপ্টেড ফাইল ডিক্রিপ্ট করে: Target এবং trojan1_arm64। Loader প্রথমে Target কে সাসপেন্ড করে, এরপর তার মধ্যে trojan1_arm64 ইনজেক্ট করে, তারপর Target কে আবার চালু করে।
এরপর, ম্যালওয়্যারটি রিমোট সার্ভারের সাথে সংযোগ স্থাপন করে এবং সিস্টেম ইনফো, কমান্ড এক্সিকিউশন এবং ডিরেক্টরি ম্যানিপুলেশন করতে থাকে। trojan1_arm64 আরও দুটি পে-লোড নামিয়ে ব্রাউজার থেকে পাসওয়ার্ড চুরি করে। টার্গেট ব্রাউজারগুলোর মধ্যে রয়েছে Arc, Brave, Chrome, Edge এবং Firefox।
তাদের মূল অস্ত্র CoreKitAgent, যা Nim ল্যাঙ্গুয়েজে লেখা। এটি malware process kill হলে অটোমেটিকভাবে নিজেকে পুনরায় চালু করে। প্রতি ৩০ সেকেন্ডে C2 সার্ভারে data পাঠিয়ে চলতে থাকে।
BabyShark অভিযানে ClickFix Social Engineering
এদিকে, উত্তর কোরিয়ার আরেক berüchtigte APT গ্রুপ Kimsuky আবারও ClickFix Social Engineering কৌশল ব্যবহার করছে তাদের BabyShark Campaign-এ। Genians রিপোর্টে জানায়, জানুয়ারি ২০২৫ থেকে শুরু হওয়া এই আক্রমণে তারা দক্ষিণ কোরিয়ার জাতীয় নিরাপত্তা বিশেষজ্ঞদের নিশানা করছে।
তাদের টেকনিক হচ্ছে, ইন্টারভিউয়ের বাহানা দিয়ে ইমেইলে RAR ফাইল পাঠানো। ভিতরে থাকা VBS স্ক্রিপ্ট decoy Google Docs ফাইল খুলে, অথচ ব্যাকগ্রাউন্ডে সিস্টেম ইনফো চুরি এবং স্কেডিউল টাস্ক তৈরি করে স্থায়ী উপস্থিতি বজায় রাখে।
পরবর্তী পর্যায়ে তারা জাপানি কূটনীতিক বা আমেরিকান অফিসিয়ালের নাম ব্যবহার করে spear-phishing চালায়। PowerShell স্ক্রিপ্ট ব্যবহার করে C2 সার্ভারে তথ্য পাঠায় এবং আরও payload ডাউনলোড করে।
ClickFix কৌশলের বিবর্তন ও নতুন ফাঁদ
ClickFix কৌশলের নতুন রূপে, তারা ভুয়া চাকরির ওয়েবসাইট বানায়। সাইটে ঢুকলে Pop-up দেয় Run Dialog ওপেন করে PowerShell কমান্ড চালানোর জন্য। সেই কমান্ড Chrome Remote Desktop ইন্সটল করিয়ে SSH রিমোট এক্সেস খুলে দেয়।
তাদের কন্ট্রোল সার্ভার থেকে keylogger ডেটা পর্যন্ত পাওয়া গেছে, China IP-তে হোস্ট করা, যেখানে Proton Drive লিঙ্ক দিয়ে ZIP ফাইলের মাধ্যমে BabyShark ম্যালওয়্যার ইনস্টল করা হয়।
সম্প্রতি, তারা ভুয়া Naver CAPTCHA page ব্যবহার করছে, যেখানে PowerShell কমান্ড copy-paste করতে বলা হয়। AutoIt স্ক্রিপ্ট চালিয়ে sensitive তথ্য চুরি করা হয়।
GitHub ও Dropbox অপব্যবহার: নতুন Hybrid Attack
তাদের আরও একটি টেকনিক হচ্ছে, GitHub ও Dropbox এর অপব্যবহার। ইমেইলে LNK ফাইল পাঠিয়ে PowerShell script চালানো হয়, যেটি GitHub থেকে Xeno RAT ডাউনলোড করে ইনস্টল করে।
তাদের GitHub Personal Access Token (PAT) ব্যবহার করে প্রাইভেট রিপোজিটরি থেকে malware নামানো এবং চুরি করা ডেটা আপলোড করাও সামনে এসেছে।
ENKI জানিয়েছে, এই হামলাগুলোতে Dropbox থেকে RTF ফাইল ডাউনলোড করে Xeno RAT চালু করা হয়। MoonPeak নামের Xeno RAT-এর নতুন ভেরিয়েন্টও এখানে ব্যবহৃত হয়েছে।
Kimsuky এর APT Landscape এ আধিপত্য
NSFOCUS এর মতে, Kimsuky এবং Konni মিলে মে ২০২৫-এ ৪৪টি APT অ্যাটাকের মধ্যে ৫% পরিচালনা করেছে। তাদের কার্যক্রম ক্রমাগত নতুন নতুন প্রযুক্তি ও টেকনিক ব্যবহার করে আরও বিপজ্জনক হয়ে উঠছে।
Cyber Defense Tips
- অপরিচিত ইমেইল, Zoom Link বা Calendly লিংকে ক্লিক করবেন না।
- Run Dialog বা PowerShell এ কোন Command Paste করবেন না।
- GitHub বা Dropbox থেকে সন্দেহজনক ফাইল নামাবেন না।
- সব সময় দুই-ধাপে ভেরিফাই করুন সোর্স ও ফাইলের প্রকৃততা।
- নিয়মিত Cyber Threat Report পড়ুন ও সাইবার সচেতনতা বাড়ান।
