CABINETRAT Backdoor
Изследователи на Infosec публикуваха предупреждение за целенасочена кампания, наблюдавана през септември 2025 г., която инсталира задна врата на езика C, проследявана като CABINETRAT. Според Екипа за реагиране при компютърни аварии на Украйна (CERT‑UA), активността се приписва на проследен клъстер (UAC‑0245), след като анализаторите откриха въоръжени добавки за Microsoft Excel (XLL файлове), използвани във веригата за атаки.
Съдържание
ZIP файлове и фалшив полицейски документ
Според докладите, нападателите са пакетирали злонамерените XLL файлове в ZIP архиви и са ги разпространявали чрез приложението за съобщения Signal, представяйки се за документи, свързани със задържания на украинската граница. Когато жертвата извлече и отвори XLL файла, започва последователността на изтегляне.
Какво създава капкомерът
На компрометираните системи се генерират няколко файла, включително:
- EXE файл, поставен в папката за стартиране на Windows
- XLL файл с име BasicExcelMath.xll в %APPDATA%\Microsoft\Excel\XLSTART\
- PNG файл с име Office.png, който всъщност съдържа вграден шелкод
Тези файлове се създават на хоста като част от постоянството и етапа на обработка на полезния товар.
Как се активира полезният товар
Имплантираният XLL конфигурира записи в системния регистър, за да гарантира, че EXE файлът се изпълнява при стартиране, след което стартира Excel (excel.exe) с параметъра /e (embed) в скрит режим, така че добавката да се зарежда тихо. Зареденият XLL извлича шелкод, скрит в придружаващото PNG изображение; този шелкод е имплантът CABINETRAT. Указанията на Microsoft отбелязват, че ненадеждните XLL добавки често се злоупотребяват от злонамерени лица, а съвременните версии на Excel блокират ненадеждните XLL файлове по подразбиране, но социалното инженерство и потребителското одобрение все още могат да им позволят да се изпълняват.
Анти-анализи и мерки за пясъчник
Както XLL зареждащият файл, така и вграденият в паметта шелкод извършват проверки срещу виртуални машини и анализи. Примерите, наблюдавани в пробите, включват проверка на наличието на поне две процесорни ядра, проверка за минимум ~3 GB RAM и търсене на артефакти за виртуализация или анализ (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Тези проверки са предназначени да прекратят или променят поведението в лабораторни/пясъчни среди и да намалят вероятността от откриване.
Злонамерените способности на CABINETRAT
CABINETRAT е пълноценна задна вратичка, написана на C. Документираните ѝ възможности включват: изброяване на системата (информация за операционната система и хардуера), изброяване на инсталирани приложения, правене на екранни снимки, изброяване на директории, премахване на определени файлове или папки, изпълнение на произволни команди и качване/изтегляне на файлове. Мрежовата комуникация се осъществява по TCP канал към отдалечена инфраструктура за командване и контрол (C2), което позволява на операторите да взаимодействат със заразените хостове.
Подобни кампании срещу Украйна
Това разкритие идва след други силно насочени кампании срещу украински организации. Изследователи наскоро съобщиха за отделна фишинг операция без файлове, която се е представяла за Националната полиция на Украйна и е доставяла полезни данни като Amatera Stealer (кражба на данни) и PureMiner (криптодобив), илюстрирайки, че множество вектори и семейства зловреден софтуер се използват паралелно срещу организации в региона.
Мониторинг, Сиолация, Саниране
Предвид активния, целенасочен характер на тази кампания и тактиките на операторите за антианализ, защитниците трябва да приемат, че всеки подозрителен архив, доставен от Signal, съдържащ добавки на Office, е потенциално злонамерен. Приоритизирайте ограничаването на подозрителни хостове, събирайте летливи артефакти (списъци с процеси, памет, мрежови връзки) и споделяйте потвърдени индикатори с CERT-UA или вашия местен CSIRT, за да помогнете за картографирането и прекъсването на операциите на участника.
