CVE-2026-21509 মাইক্রোসফট অফিসের দুর্বলতা

রাশিয়া-সংশ্লিষ্ট রাষ্ট্র-স্পন্সরিত হুমকি অভিনেতা APT28, যা UAC-0001 নামেও ট্র্যাক করা হয়েছে, নতুন প্রকাশিত মাইক্রোসফ্ট অফিস দুর্বলতাকে কাজে লাগিয়ে সাইবার আক্রমণের একটি নতুন তরঙ্গের জন্য দায়ী করা হয়েছে। এই কার্যকলাপটি অপারেশন নিউসপ্লয়েট নামে প্রচারণার অধীনে ট্র্যাক করা হয়েছে এবং জনসাধারণের প্রকাশের পরে বন্য শোষণের প্রাথমিক উদাহরণগুলির মধ্যে একটি।

নিরাপত্তা গবেষকরা লক্ষ্য করেছেন যে মাইক্রোসফট এই দুর্বলতা প্রকাশের মাত্র তিন দিন পরে, ২৯ জানুয়ারী, ২০২৬ তারিখে, ইউক্রেন, স্লোভাকিয়া এবং রোমানিয়া জুড়ে ব্যবহারকারীদের লক্ষ্য করে এই ত্রুটিটিকে অস্ত্র হিসেবে ব্যবহার করছে দলটি।

CVE-2026-21509: বাস্তব-বিশ্ব প্রভাব সহ একটি নিরাপত্তা বৈশিষ্ট্য বাইপাস

শোষিত দুর্বলতা, CVE-2026-21509, এর CVSS স্কোর 7.8 এবং এটি মাইক্রোসফ্ট অফিসকে প্রভাবিত করে। একটি নিরাপত্তা বৈশিষ্ট্য বাইপাস হিসাবে শ্রেণীবদ্ধ, এই ত্রুটিটি আক্রমণকারীদের একটি বিশেষভাবে তৈরি অফিস ডকুমেন্ট সরবরাহ করতে দেয় যা যথাযথ অনুমোদন ছাড়াই ট্রিগার করা যেতে পারে, যা একটি বৃহত্তর আক্রমণ শৃঙ্খলের অংশ হিসাবে নির্বিচারে কোড কার্যকর করার দরজা খুলে দেয়।

অঞ্চল-নির্দিষ্ট সামাজিক প্রকৌশল এবং ফাঁকি কৌশল

এই প্রচারণাটি মূলত সামাজিক প্রকৌশলের উপর নির্ভরশীল ছিল। স্থানীয় লক্ষ্যবস্তুদের মধ্যে বিশ্বাসযোগ্যতা বৃদ্ধির জন্য ইংরেজির পাশাপাশি রোমানিয়ান, স্লোভাক এবং ইউক্রেনীয় ভাষায় লোর ডকুমেন্ট তৈরি করা হয়েছিল। সার্ভার-সাইড এভিয়েশন ব্যবস্থার সাথে ডেলিভারি অবকাঠামো কনফিগার করা হয়েছিল, যাতে নিশ্চিত করা যায় যে ক্ষতিকারক DLL পেলোডগুলি কেবলমাত্র তখনই পরিবেশিত হয় যখন অনুরোধগুলি উদ্দেশ্যমূলক ভৌগোলিক অঞ্চল থেকে আসে এবং প্রত্যাশিত ব্যবহারকারী-এজেন্ট HTTP হেডার অন্তর্ভুক্ত থাকে।

ক্ষতিকারক RTF ফাইলের মাধ্যমে ডুয়াল ড্রপার কৌশল

এই অভিযানের মূলে রয়েছে ক্ষতিকারক RTF নথি ব্যবহার করে CVE-2026-21509 ব্যবহার করে দুটি ড্রপারের মধ্যে একটি ব্যবহার করা, প্রতিটি ড্রপার ভিন্ন ভিন্ন অপারেশনাল উদ্দেশ্যকে সমর্থন করে। একটি ড্রপার ইমেল চুরির ক্ষমতা প্রদান করে, অন্যটি আরও জটিল, বহু-পর্যায়ের অনুপ্রবেশ শুরু করে যা একটি পূর্ণ-বৈশিষ্ট্যযুক্ত কমান্ড-এন্ড-কন্ট্রোল ইমপ্লান্ট স্থাপনের মাধ্যমে শেষ হয়।

মিনিডোর: লক্ষ্যবস্তু আউটলুক ইমেল চুরি

প্রথম ড্রপারটি MiniDoor ইনস্টল করে, যা একটি C++-ভিত্তিক DLL যা মাইক্রোসফ্ট আউটলুক ফোল্ডার থেকে ইমেল ডেটা সংগ্রহ করার জন্য ডিজাইন করা হয়েছে, যার মধ্যে ইনবক্স, জাঙ্ক এবং ড্রাফ্ট অন্তর্ভুক্ত। চুরি হওয়া বার্তাগুলি দুটি হার্ড-কোডেড আক্রমণকারী-নিয়ন্ত্রিত ইমেল অ্যাকাউন্টে এক্সফিল্টার করা হয়:
ahmeclaw2002@outlook[.]com এবং ahmeclaw@proton[.]me.

MiniDoor কে NotDoor (GONEPOSTAL নামেও পরিচিত) এর একটি হালকা ডেরিভেটিভ বলে মূল্যায়ন করা হয়, এটি একটি টুল যা পূর্বে 2025 সালের সেপ্টেম্বরে নথিভুক্ত করা হয়েছিল।

পিক্সিনেটলোডার এবং কভেন্যান্ট ইমপ্লান্ট চেইন

দ্বিতীয় ড্রপার, যা PixyNetLoader নামে পরিচিত, একটি উল্লেখযোগ্যভাবে আরও উন্নত আক্রমণ ক্রমকে সহজতর করে। এটি এমবেডেড উপাদানগুলি বের করে এবং COM অবজেক্ট হাইজ্যাকিংয়ের মাধ্যমে স্থায়িত্ব প্রতিষ্ঠা করে। এক্সট্র্যাক্ট করা ফাইলগুলির মধ্যে রয়েছে EhStoreShell.dll নামে একটি শেলকোড লোডার এবং SplashScreen.png লেবেলযুক্ত একটি PNG চিত্র।

লোডারের কাজ হল স্টেগানোগ্রাফি ব্যবহার করে ছবির মধ্যে লুকানো শেলকোড বের করা এবং এটি কার্যকর করা। এই ক্ষতিকারক যুক্তিটি কেবল তখনই সক্রিয় হয় যখন হোস্ট পরিবেশকে বিশ্লেষণ স্যান্ডবক্স হিসাবে চিহ্নিত করা হয় না এবং যখন explorer.exe দ্বারা DLL চালু করা হয়, অন্যথায় সনাক্তকরণ এড়াতে সুপ্ত থাকে।

ডিকোড করা শেলকোডটি শেষ পর্যন্ত একটি এমবেডেড .NET অ্যাসেম্বলি লোড করে: ওপেন-সোর্স COVENANT কমান্ড-এন্ড-কন্ট্রোল ফ্রেমওয়ার্কের সাথে যুক্ত একটি গ্রান্ট ইমপ্লান্ট। APT28 এর Covenant Grunt এর পূর্ববর্তী ব্যবহার পূর্বে 2025 সালের সেপ্টেম্বরে অপারেশন ফ্যান্টম নেট ভক্সেলের সময় নথিভুক্ত করা হয়েছিল।

অপারেশন ফ্যান্টম নেট ভক্সেলের সাথে কৌশলগত ধারাবাহিকতা

যদিও অপারেশন নিউসপ্লয়েট পূর্ববর্তী প্রচারণার VBA ম্যাক্রো এক্সিকিউশন পদ্ধতিকে DLL-ভিত্তিক পদ্ধতি দিয়ে প্রতিস্থাপন করে, তবুও অন্তর্নিহিত কৌশলগুলি মূলত সামঞ্জস্যপূর্ণ থাকে। এর মধ্যে রয়েছে:

• কার্যকরকরণ এবং অধ্যবসায়ের জন্য COM হাইজ্যাকিং
• DLL প্রক্সি করার প্রক্রিয়া
• XOR-ভিত্তিক স্ট্রিং অস্পষ্টতা
• পিএনজি ছবির মধ্যে শেলকোড লোডার এবং কভেন্যান্ট গ্রান্ট পেলোডের স্টেগানোগ্রাফিক এমবেডিং

এই ধারাবাহিকতা সম্পূর্ণ নতুন সরঞ্জাম গ্রহণের পরিবর্তে প্রমাণিত ট্রেডক্রাফ্ট বিকাশের জন্য APT28-এর পছন্দকে তুলে ধরে।

CERT-UA সতর্কতা আরও বিস্তৃত লক্ষ্যবস্তু নিশ্চিত করে

এই অভিযানটি ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-UA) এর একটি পরামর্শের সাথে মিলে যায়, যেখানে APT28 মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্টের মাধ্যমে CVE-2026-21509 ব্যবহার করার বিষয়ে সতর্ক করা হয়েছিল। এই কার্যকলাপটি ইউক্রেনের কেন্দ্রীয় নির্বাহী কর্তৃপক্ষের সাথে সংযুক্ত 60 টিরও বেশি ইমেল ঠিকানাকে লক্ষ্য করে করা হয়েছিল। মেটাডেটা বিশ্লেষণে দেখা গেছে যে 27 জানুয়ারী, 2026 তারিখে কমপক্ষে একটি লোর ডকুমেন্ট তৈরি করা হয়েছিল, যা দুর্বলতার দ্রুত কার্যকরীকরণকে আরও জোর দেয়।

WebDAV-ভিত্তিক ডেলিভারি এবং চূড়ান্ত পেলোড সম্পাদন

বিশ্লেষণে দেখা গেছে যে মাইক্রোসফ্ট অফিসে ক্ষতিকারক ডকুমেন্ট খোলার ফলে একটি বহিরাগত রিসোর্সের সাথে একটি WebDAV সংযোগ শুরু হয়। এই মিথস্ক্রিয়াটি এমবেডেড প্রোগ্রাম কোড ধারণকারী একটি শর্টকাট-স্টাইল নামের একটি ফাইল ডাউনলোড করে, যা পরে একটি অতিরিক্ত পেলোড পুনরুদ্ধার করে এবং কার্যকর করে।

এই প্রক্রিয়াটি শেষ পর্যন্ত PixyNetLoader সংক্রমণ শৃঙ্খলের প্রতিফলন ঘটায়, যার ফলে COVENANT ফ্রেমওয়ার্কের Grunt ইমপ্লান্ট স্থাপন করা হয় এবং আক্রমণকারীদের আপোসপ্রাপ্ত সিস্টেমে স্থায়ী দূরবর্তী অ্যাক্সেস প্রদান করা হয়।