باب خلفي لـ CABINETRAT
نشر باحثو أمن المعلومات تنبيهًا بشأن حملة مُستهدفة رُصدت في سبتمبر 2025، تُثبّت برمجية خبيثة بلغة C تُتبّع باسم CABINETRAT. ووفقًا لفريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA)، يُعزى هذا النشاط إلى مجموعة مُتتبّعة (UAC-0245) بعد أن اكتشف المحللون إضافات مايكروسوفت إكسل المُسلّحة (ملفات XLL) المُستخدمة في سلسلة الهجوم.
جدول المحتويات
ملفات ZIP ووثيقة شرطة مزورة
وفقًا للتقارير، قام المهاجمون بتغليف ملفات XLL الخبيثة داخل أرشيفات ZIP وتوزيعها عبر تطبيق المراسلة Signal، منتحلين صورة مستند يتعلق بعمليات اعتقال على الحدود الأوكرانية. عندما يستخرج الضحية ملف XLL ويفتحه، تبدأ عملية الإسقاط.
ما الذي يخلقه القطارة
يتم إنشاء العديد من الملفات على الأنظمة المخترقة، بما في ذلك:
- ملف EXE تم وضعه في مجلد بدء تشغيل Windows
- ملف XLL باسم BasicExcelMath.xll في %APPDATA%\Microsoft\Excel\XLSTART\
- ملف PNG يسمى Office.png يحمل في الواقع الكود البرمجي المضمن
يتم إنشاء هذه الملفات على المضيف كجزء من الثبات ومرحلة الحمولة.
كيفية تنشيط الحمولة
يقوم ملف XLL المُزروع بتكوين إدخالات السجل لضمان تشغيل ملف EXE عند بدء التشغيل، ثم يُشغّل برنامج Excel (excel.exe) باستخدام مفتاح /e (embed) في الوضع المخفي، مما يُمكّن من تحميل الإضافة بصمت. يستخرج ملف XLL المُزروع شفرة shellcode مخفية داخل صورة PNG المرفقة؛ وهي شفرة shellcode المزروعة في CABINETRAT. تُشير إرشادات مايكروسوفت إلى أن إضافات XLL غير الموثوقة تُساء استغلالها بشكل شائع من قِبل جهات التهديد، وأن إصدارات Excel الحديثة تحظر ملفات XLL غير الموثوقة افتراضيًا - ولكن لا يزال بإمكان الهندسة الاجتماعية وموافقة المستخدم السماح بتشغيلها.
التحليلات المضادة وتدابير الحماية
يُجري كلٌّ من مُحمِّل XLL وشفرة shellcode في الذاكرة فحوصاتٍ مضادة للآلات الافتراضية والتحليل. من الأمثلة التي لوحظت في العينات التحقق من وجود نواتين على الأقل لوحدة المعالجة المركزية، والتحقق من وجود ذاكرة وصول عشوائي (RAM) لا تقل عن 3 جيجابايت، والبحث عن آثار المحاكاة الافتراضية أو التحليل (VMware، VirtualBox، Xen، QEMU، Parallels، Hyper-V). تهدف هذه الفحوصات إلى إيقاف أو تغيير السلوك في بيئات المختبر/البيئة التجريبية، وتقليل احتمالية الكشف.
القدرات الخبيثة لـ CABINETRAT
CABINETRAT هو برنامج تسلل خلفي كامل مكتوب بلغة C. تشمل إمكانياته الموثقة: تعداد النظام (معلومات نظام التشغيل والأجهزة)، وسرد التطبيقات المثبتة، والتقاط لقطات شاشة، وتعداد المجلدات، وإزالة ملفات أو مجلدات محددة، وتنفيذ أوامر عشوائية، وتحميل/تنزيل الملفات. تتم اتصالات الشبكة عبر قناة TCP إلى البنية التحتية للتحكم والقيادة (C2) عن بُعد، مما يسمح للمشغلين بالتفاعل مع الأجهزة المضيفة المصابة.
حملات مماثلة ضد أوكرانيا
يأتي هذا الكشف في أعقاب حملات أخرى شديدة الاستهداف ضد كيانات أوكرانية. وقد أبلغ باحثون مؤخرًا عن عملية تصيد احتيالي منفصلة بدون ملفات، انتحلت فيها صفة الشرطة الوطنية الأوكرانية، ونشرت برمجيات خبيثة مثل Amatera Stealer (لسرقة البيانات) وPureMiner (لتعدين العملات المشفرة)، مما يُظهر استخدام العديد من المتجهات وعائلات البرامج الضارة بالتوازي ضد مؤسسات في المنطقة.
مراقبة، عزل، علاج
نظرًا للطبيعة النشطة والمستهدفة لهذه الحملة وأساليب المُشغِّلين المُضادة للتحليل، ينبغي على المُدافعين افتراض أن أي أرشيف مُريب مُرسَل عبر Signal يحتوي على إضافات Office قد يكون ضارًا. أعطِ الأولوية لاحتواء المُضيفين المُشتبه بهم، وجمع البيانات غير المُستقرة (قوائم العمليات، الذاكرة، اتصالات الشبكة)، وشارك المؤشرات المُؤكدة مع CERT-UA أو CSIRT المحلي للمساعدة في تحديد عمليات المُشغِّل وتعطيلها.
