CABINETRAT Backdoor

ইনফোসেক গবেষকরা ২০২৫ সালের সেপ্টেম্বরে পরিলক্ষিত একটি লক্ষ্যবস্তু প্রচারণা সম্পর্কে একটি সতর্কতা প্রকাশ করেছেন যা CABINETRAT নামে একটি C-ভাষা ব্যাকডোর ট্র্যাকড ইনস্টল করে। ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) অনুসারে, আক্রমণ শৃঙ্খলে ব্যবহৃত অস্ত্রযুক্ত মাইক্রোসফ্ট এক্সেল অ্যাড-ইন (XLL ফাইল) আবিষ্কার করার পরে, এই কার্যকলাপটি একটি ট্র্যাকড ক্লাস্টার (UAC-0245) এর সাথে সম্পর্কিত।

জিপ ফাইল এবং একটি জাল পুলিশ ডকুমেন্ট

প্রতিবেদন অনুসারে, আক্রমণকারীরা জিপ আর্কাইভের ভিতরে ক্ষতিকারক XLL গুলি প্যাকেজ করে এবং সিগন্যাল মেসেজিং অ্যাপে বিতরণ করে, ইউক্রেনীয় সীমান্তে আটকের সাথে সম্পর্কিত একটি নথি হিসাবে ভান করে। যখন একজন ভুক্তভোগী XLL বের করে খোলেন, তখন ড্রপ ক্রম শুরু হয়।

ড্রপার কী তৈরি করে

ক্ষতিগ্রস্ত সিস্টেমে বেশ কিছু ফাইল তৈরি হচ্ছে, যার মধ্যে রয়েছে:

• উইন্ডোজ স্টার্টআপ ফোল্ডারে একটি EXE স্থাপন করা হয়েছে
• %APPDATA%\Microsoft\Excel\XLSTART\ এ BasicExcelMath.xll নামে একটি XLL
• Office.png নামের একটি PNG যা আসলে এমবেডেড শেলকোড বহন করে

এই ফাইলগুলি হোস্টে তৈরি করা হয় স্থায়িত্ব এবং পেলোড-স্টেজিংয়ের অংশ হিসেবে।

পেলোড কীভাবে সক্রিয় করা হয়

ইমপ্লান্ট করা XLL রেজিস্ট্রি এন্ট্রি কনফিগার করে যাতে EXE স্টার্টআপে চালু থাকে, তারপর লুকানো মোডে /e (এমবেড) সুইচ দিয়ে এক্সেল (excel.exe) চালু করে যাতে অ্যাড-ইনটি নীরবে লোড হয়। লোড করা XLL সহগামী PNG চিত্রের ভিতরে লুকানো শেলকোড বের করে; সেই শেলকোডটি হল CABINETRAT ইমপ্লান্ট। মাইক্রোসফ্টের নির্দেশিকা উল্লেখ করে যে অবিশ্বস্ত XLL অ্যাড-ইনগুলি সাধারণত হুমকিদাতাদের দ্বারা অপব্যবহার করা হয় এবং আধুনিক এক্সেল সংস্করণগুলি ডিফল্টরূপে অবিশ্বস্ত XLLগুলিকে ব্লক করে - তবে সামাজিক প্রকৌশল এবং ব্যবহারকারীর অনুমোদন এখনও তাদের চলতে দিতে পারে।

অ্যান্টি-বিশ্লেষণ এবং স্যান্ডবক্স ব্যবস্থা

XLL লোডার এবং ইন-মেমোরি শেলকোড উভয়ই অ্যান্টি-ভিএম এবং অ্যান্টি-বিশ্লেষণ পরীক্ষা করে। নমুনাগুলিতে দেখা উদাহরণগুলির মধ্যে রয়েছে কমপক্ষে দুটি CPU কোর আছে কিনা তা যাচাই করা, কমপক্ষে ~3 গিগাবাইট RAM পরীক্ষা করা এবং ভার্চুয়ালাইজেশন বা বিশ্লেষণ শিল্পকর্ম (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) অনুসন্ধান করা। এই পরীক্ষাগুলি ল্যাব/স্যান্ডবক্স পরিবেশে আচরণ বাতিল বা পরিবর্তন করার এবং সনাক্তকরণের সম্ভাবনা হ্রাস করার উদ্দেশ্যে করা হয়।

ক্যাবিনেটের ক্ষতিকারক ক্ষমতা

CABINETRAT হল C তে লেখা একটি সম্পূর্ণ ব্যাকডোর। এর নথিভুক্ত ক্ষমতাগুলির মধ্যে রয়েছে: সিস্টেম গণনা (OS এবং হার্ডওয়্যার তথ্য), ইনস্টল করা অ্যাপ্লিকেশনগুলির তালিকা তৈরি করা, স্ক্রিনশট নেওয়া, ডিরেক্টরিগুলি গণনা করা, নির্দিষ্ট ফাইল বা ফোল্ডারগুলি অপসারণ করা, ইচ্ছামত কমান্ড কার্যকর করা এবং ফাইল আপলোড/ডাউনলোড করা। নেটওয়ার্ক যোগাযোগ একটি TCP চ্যানেলের মাধ্যমে দূরবর্তী কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামোর সাথে ঘটে, যা অপারেটরদের সংক্রামিত হোস্টের সাথে যোগাযোগ করতে দেয়।

ইউক্রেনের বিরুদ্ধে অনুরূপ প্রচারণা

এই প্রকাশটি ইউক্রেনীয় সত্তার বিরুদ্ধে অন্যান্য অত্যন্ত লক্ষ্যবস্তু প্রচারণার পরেই এসেছে। গবেষকরা সম্প্রতি একটি পৃথক ফাইলবিহীন ফিশিং অপারেশনের কথা জানিয়েছেন যা ইউক্রেনের জাতীয় পুলিশের ছদ্মবেশে এবং Amatera Stealer (ডেটা চুরি) এবং PureMiner (ক্রিপ্টোমাইনিং) এর মতো পেলোড সরবরাহ করেছিল, যা দেখায় যে এই অঞ্চলের সংস্থাগুলির বিরুদ্ধে সমান্তরালভাবে একাধিক ভেক্টর এবং ম্যালওয়্যার পরিবার ব্যবহার করা হচ্ছে।

মনিটর, সিওলেট, রিমিডিয়েট

এই প্রচারণার সক্রিয়, লক্ষ্যবস্তু প্রকৃতি এবং অপারেটরদের বিশ্লেষণ-বিরোধী কৌশল বিবেচনা করে, রক্ষাকারীদের ধরে নেওয়া উচিত যে অফিস অ্যাড-ইন ধারণকারী যেকোনো সন্দেহজনক সিগন্যাল-ডেলিভারি করা আর্কাইভ সম্ভাব্য ক্ষতিকারক। সন্দেহভাজন হোস্টদের নিয়ন্ত্রণকে অগ্রাধিকার দিন, উদ্বায়ী শিল্পকর্ম (প্রক্রিয়া তালিকা, মেমরি, নেটওয়ার্ক সংযোগ) সংগ্রহ করুন এবং CERT-UA বা আপনার স্থানীয় CSIRT-এর সাথে নিশ্চিত সূচকগুলি ভাগ করুন যাতে অভিনেতার ক্রিয়াকলাপগুলি ম্যাপ এবং ব্যাহত করতে সহায়তা করা যায়।