KkRAT ম্যালওয়্যার

ইনফোসেক গবেষকরা চীনা ভাষাভাষী ব্যবহারকারীদের লক্ষ্য করে একটি সক্রিয় ম্যালওয়্যার প্রচারণা আবিষ্কার করেছেন যা পূর্বে নথিভুক্ত না থাকা রিমোট অ্যাক্সেস ট্রোজান ব্যবহার করে যার নাম kkRAT। প্রচারণাটি ২০২৫ সালের মে মাসের প্রথম দিক থেকে চলছে বলে মনে হচ্ছে এবং সনাক্তকরণ এড়াতে এবং স্থায়িত্ব অর্জনের জন্য মডুলার লোডার এবং প্রতারণার সাথে পরিচিত RAT কৌশলগুলিকে একত্রিত করে।

হুমকির উৎস এবং কোডলাইন লিঙ্ক

বিশ্লেষণে দেখা যায় যে kkRAT প্রতিষ্ঠিত পরিবারগুলি থেকে প্রচুর পরিমাণে ধার করে: এর নেটওয়ার্ক প্রোটোকল এবং কিছু কোড কাঠামো Gh0st RAT (ঘোস্ট RAT) এবং বিগ ব্যাড উলফ (大灰狼) দ্বারা ব্যবহৃত প্রোটোকলের সাথে সাদৃশ্যপূর্ণ, যা ঐতিহাসিকভাবে চীন-ভিত্তিক সাইবার অপরাধী গোষ্ঠীগুলি দ্বারা ব্যবহৃত একটি RAT। লেখকরা কম্প্রেশনের উপরে অতিরিক্ত এনক্রিপশন স্তরিত করেছেন, একটি অতিরিক্ত এনক্রিপশন ধাপ সহ একটি ঘোস্ট-সদৃশ যোগাযোগ চ্যানেল তৈরি করেছেন।

ডেলিভারি পদ্ধতি — গিথাব পেজে জাল ইনস্টলার রাখা

অভিনেতারা GitHub পেজে ফিশিং পেজ হোস্ট করেছিলেন যা জনপ্রিয় অ্যাপ্লিকেশনগুলির (যেমন, DingTalk) ছদ্মবেশে তৈরি হয়েছিল এবং জাল ইনস্টলারের মাধ্যমে তিনটি ট্রোজান সরবরাহ করেছিল। GitHub-এর সুনামের অপব্যবহার করে, অপারেটররা ভুক্তভোগীদের বিশ্বাস করার এবং ইনস্টলারগুলি চালানোর সম্ভাবনা বাড়িয়েছিল। বিশেষজ্ঞরা মনে করেন যে পৃষ্ঠাগুলি হোস্ট করার জন্য ব্যবহৃত GitHub অ্যাকাউন্টটি আর উপলব্ধ নেই।

ইনস্টলার আচরণ

কার্যকর করা হলে, নকল ইনস্টলারটি স্যান্ডবক্স পরিবেশ এবং ভার্চুয়াল মেশিন সনাক্ত করার জন্য একাধিক পরীক্ষা করে এবং সুরক্ষা নিয়ন্ত্রণগুলিকে এড়িয়ে যাওয়ার চেষ্টা করে। এটি প্রশাসকের বিশেষাধিকারের জন্য অনুরোধ করে; যদি মঞ্জুর করা হয়, তবে এটি সক্রিয় নেটওয়ার্ক অ্যাডাপ্টারগুলিকে তালিকাভুক্ত করে এবং অস্থায়ীভাবে অক্ষম করে - একটি ক্ষমতা যা অ্যান্টিভাইরাস নেটওয়ার্ক চেকগুলিতে হস্তক্ষেপ করতে এবং পরিবর্তনগুলি চালিয়ে যাওয়ার সময় স্বাভাবিক AV ক্রিয়াকলাপ ব্যাহত করতে ব্যবহৃত হয়।

অ্যান্টি-এভি কৌশল

এই ম্যালওয়্যারটি রিয়েলব্লাইন্ডিংইডিআর ওপেন-সোর্স প্রকল্পের কোড পুনঃব্যবহার করে এন্ডপয়েন্ট সুরক্ষা নিরপেক্ষ করার জন্য একটি ব্রিং-ইওর-ওন-ভালনারেবল-ড্রাইভার (BYOVD) কৌশল ব্যবহার করে। এটি বিশেষভাবে এই ভোক্তা এবং এন্টারপ্রাইজ সুরক্ষা স্যুটগুলি অনুসন্ধান করে এবং লক্ষ্য করে:

৩৬০ ইন্টারনেট সিকিউরিটি স্যুট

৩৬০ টোটাল সিকিউরিটি

হিরোব্রাভো সিস্টেম ডায়াগনস্টিক্স স্যুট

কিংসফট ইন্টারনেট সিকিউরিটি

QQ电脑管家

প্রাসঙ্গিক অ্যান্টিভাইরাস প্রক্রিয়াগুলি বন্ধ করার পর, ইনস্টলারটি SYSTEM সুবিধা সহ একটি নির্ধারিত কাজ তৈরি করে যা প্রতিটি ব্যবহারকারীর লগঅনে একটি ব্যাচ স্ক্রিপ্ট কার্যকর করে - নিশ্চিত করে যে প্রতিটি লগইনের সময় লক্ষ্যযুক্ত AV প্রক্রিয়াগুলি স্বয়ংক্রিয়ভাবে বন্ধ হয়ে যায়। ম্যালওয়্যারটি নেটওয়ার্ক চেক অক্ষম করার সাথে সামঞ্জস্যপূর্ণভাবে উইন্ডোজ রেজিস্ট্রি এন্ট্রিগুলিকেও পরিবর্তন করে, তারপর এর পরিবর্তনগুলি সম্পূর্ণ হওয়ার পরে নেটওয়ার্ক অ্যাডাপ্টারগুলিকে পুনরায় সক্ষম করে।

পে-লোড চেইন

ইনস্টলারের প্রাথমিক ভূমিকা হল shellcode চালানো, যা একটি হার্ড-কোডেড URL থেকে '2025.bin' নামক একটি অস্পষ্ট সেকেন্ডারি শেলকোড ফাইল আনে এবং কার্যকর করে। সেই শেলকোডটি একটি ডাউনলোডার হিসেবে কাজ করে এবং 'output.log' নামক একটি আর্টিফ্যাক্ট পুনরুদ্ধার করে, যা দুটি ZIP আর্কাইভ ডাউনলোড করার জন্য দুটি URL-এর সাথে যোগাযোগ করে:

• trx38.zip — একটি বৈধ এক্সিকিউটেবল ফাইল এবং একটি ক্ষতিকারক DLL রয়েছে যা DLL সাইডলোডিংয়ের মাধ্যমে চালু করা হয়।
• p.zip — longlq.cl নামক একটি ফাইল ধারণ করে যা একটি এনক্রিপ্ট করা চূড়ান্ত পেলোড ধারণ করে।

ম্যালওয়্যারটি trx38.zip থেকে বৈধ এক্সিকিউটেবলের জন্য একটি শর্টকাট তৈরি করে, ব্যবহারকারীর স্টার্টআপ ফোল্ডারে সেই শর্টকাটটি স্থায়ীত্বের জন্য রাখে এবং বৈধ এক্সিকিউটেবল চালায় যাতে এটি ক্ষতিকারক DLL সাইডলোড করে। DLL longlq.cl-এ থাকা চূড়ান্ত পেলোড ডিক্রিপ্ট করে এবং কার্যকর করে। ক্যাম্পেইনের চূড়ান্ত পেলোড ক্যাম্পেইনের উদাহরণ অনুসারে পরিবর্তিত হয়; একটি নিশ্চিত পেলোড হল kkRAT।

kkRAT ক্ষমতা (কমান্ড, প্লাগইন এবং আচরণ)

kkRAT একটি সকেটের মাধ্যমে একটি C2 সার্ভারের সাথে সংযোগ স্থাপন করে, সংক্রামিত হোস্টের প্রোফাইল তৈরি করে এবং প্লাগইন এবং কমান্ড ডাউনলোড করে যা ব্যাপক রিমোট কন্ট্রোল এবং ডেটা সংগ্রহ সক্ষম করে। এর পর্যবেক্ষণযোগ্য ক্ষমতাগুলির মধ্যে রয়েছে:

• ব্যবহারকারীর ইনপুট (কীবোর্ড এবং মাউস) এর স্ক্রিন ক্যাপচার এবং সিমুলেশন
• ক্লিপবোর্ডের বিষয়বস্তু পড়া এবং পরিবর্তন করা (ক্রিপ্টোকারেন্সি ঠিকানা প্রতিস্থাপনের জন্য ব্যবহৃত)
• দূরবর্তী ডেস্কটপ কার্যকারিতা সক্ষম করা এবং ব্রাউজার সহ অ্যাপ্লিকেশন চালু/দূরবর্তীভাবে বন্ধ করা
• একটি ইন্টারেক্টিভ শেলের মাধ্যমে দূরবর্তী কমান্ড কার্যকরকরণ
• অন-স্ক্রিন উইন্ডোজ ব্যবস্থাপনা এবং প্রক্রিয়া তালিকা/সমাপ্তি
• সক্রিয় নেটওয়ার্ক সংযোগগুলির তালিকা তৈরি করা হচ্ছে
• ইনস্টল করা অ্যাপ্লিকেশনগুলির তালিকা তৈরি করা এবং নির্বাচিত সফ্টওয়্যার আনইনস্টল করা
• অটোরান রেজিস্ট্রি মান পড়া এবং অটোরান এন্ট্রি গণনা করা
• ট্র্যাফিক রুট করার জন্য এবং সম্ভাব্যভাবে ফায়ারওয়াল বা VPN বাইপাস করার জন্য SOCKS5 প্রক্সি হিসেবে কাজ করে

kkRAT-তে ক্লিপার কার্যকারিতাও রয়েছে যা কপি করা ক্রিপ্টোকারেন্সি ওয়ালেট ঠিকানাগুলি প্রতিস্থাপন করে এবং বিভিন্ন ব্রাউজার এবং মেসেজিং অ্যাপ থেকে ডেটা সাফ করার রুটিনগুলি (উদাহরণস্বরূপ: 360 স্পিড ব্রাউজার, গুগল ক্রোম, ইন্টারনেট এক্সপ্লোরার, মজিলা ফায়ারফক্স, কিউকিউ ব্রাউজার, সোগো এক্সপ্লোরার এবং টেলিগ্রাম)।

সারাংশ — কেন আক্রমণ অভিযান তাৎপর্যপূর্ণ

এই প্রচারণাটি নিম্নলিখিত সমন্বয়ের জন্য উল্লেখযোগ্য: বৈধ-সুদর্শন GitHub পৃষ্ঠাগুলির মাধ্যমে সামাজিক-প্রকৌশল বিতরণ; উন্নত অ্যান্টি-বিশ্লেষণ এবং অ্যান্টি-AV কৌশল (স্যান্ডবক্স/VM সনাক্তকরণ, RealBlindingEDR কোড ব্যবহার করে BYOVD); একটি মাল্টি-স্টেজ লোডার যা DLL সাইডলোডিং এবং এনক্রিপ্ট করা পেলোড কন্টেইনার ব্যবহার করে; এবং একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত RAT (kkRAT) যা তথ্য চুরি (ক্লিপবোর্ড হাইজ্যাকিং, স্ক্রিন ক্যাপচার, ডেটা এক্সফিল্ট্রেশন) এবং অপারেশনাল টুলিং (রিমোট ম্যানেজমেন্ট টুলস, প্রক্সি) উভয়কেই সমর্থন করে। মডুলার আর্কিটেকচারের অর্থ হল চূড়ান্ত পেলোড অদলবদল করা যেতে পারে, অপারেটরদের জন্য নমনীয়তা বৃদ্ধি করে এবং সনাক্তকরণ এবং অ্যাট্রিবিউশনকে জটিল করে তোলে।