Zadní vrátka CABINETRAT
Výzkumníci z Infosec zveřejnili upozornění na cílenou kampaň pozorovanou v září 2025, která instaluje backdoor v jazyce C sledovaný jako CABINETRAT. Podle Ukrajinské pohotovostní služby (CERT‑UA) je aktivita připisována sledovanému klastru (UAC‑0245) poté, co analytici objevili doplňky Microsoft Excel (soubory XLL) použité v útočném řetězci jako zbraně.
Obsah
ZIP soubory a falešný policejní dokument
Podle zpráv útočníci zabalili škodlivé soubory XLL do ZIP archivů a distribuovali je prostřednictvím aplikace Signal, přičemž se vydávali za dokumenty týkající se zadržení na ukrajinských hranicích. Jakmile oběť extrahuje a otevře soubor XLL, spustí se sekvence odesílání.
Co kapátko vytváří
Na napadených systémech se generuje několik souborů, včetně:
- EXE umístěný do složky Po spuštění systému Windows
- soubor XLL s názvem BasicExcelMath.xll v %APPDATA%\Microsoft\Excel\XLSTART\
- PNG s názvem Office.png, který ve skutečnosti obsahuje vložený shellcode
Tyto soubory se vytvářejí na hostiteli jako součást perzistence a přípravy datových částí.
Jak se aktivuje užitečné zatížení
Implantovaný soubor XLL konfiguruje položky registru tak, aby se soubor EXE spustil při spuštění systému, a poté spustí Excel (excel.exe) s přepínačem /e (embed) ve skrytém režimu, takže se doplněk načte tiše. Načtený soubor XLL extrahuje shellcode skrytý uvnitř doprovodného obrázku PNG; tento shellcode je implantát CABINETRAT. Pokyny společnosti Microsoft uvádějí, že nedůvěryhodné doplňky XLL jsou běžně zneužívány útočníky a moderní verze Excelu nedůvěryhodné soubory XLL ve výchozím nastavení blokují – ale sociální inženýrství a schvalování uživatelem je stále mohou spustit.
Antianalýzy a opatření v sandboxu
Zavaděč XLL i shellcode v paměti provádějí kontroly proti virtuálním strojům a analýze. Mezi příklady pozorované v ukázkách patří ověření přítomnosti alespoň dvou jader CPU, kontrola minimálně ~3 GB RAM a hledání virtualizačních nebo analytických artefaktů (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Tyto kontroly mají za cíl přerušit nebo změnit chování v laboratorních/sandboxových prostředích a snížit pravděpodobnost detekce.
Škodlivé schopnosti CABINETRATu
CABINETRAT je plnohodnotný backdoor napsaný v jazyce C. Mezi jeho zdokumentované schopnosti patří: výčet systémů (informace o operačním systému a hardwaru), výpis nainstalovaných aplikací, pořizování snímků obrazovky, výčet adresářů, odstraňování zadaných souborů nebo složek, provádění libovolných příkazů a nahrávání/stahování souborů. Síťová komunikace probíhá přes TCP kanál se vzdálenou infrastrukturou Command-and-Control (C2), což umožňuje operátorům interagovat s infikovanými hostiteli.
Podobné kampaně proti Ukrajině
Toto odhalení přichází v návaznosti na další cílené kampaně proti ukrajinským subjektům. Výzkumníci nedávno informovali o samostatné phishingové operaci bez souborů, která se vydávala za Národní policii Ukrajiny a doručovala malware, jako například Amatera Stealer (krádež dat) a PureMiner (těžba kryptoměn), což dokazuje, že proti organizacím v regionu je paralelně používáno více vektorů a rodin malwaru.
Monitorování, Siolace, Sanace
Vzhledem k aktivní a cílené povaze této kampaně a taktice operátorů zaměřené na analýzu by obránci měli předpokládat, že jakýkoli podezřelý archiv doručený službou Signal obsahující doplňky Office je potenciálně škodlivý. Upřednostněte omezení podezřelých hostitelů, shromažďujte nestálé artefakty (seznamy procesů, paměť, síťová připojení) a sdílejte potvrzené indikátory s CERT-UA nebo místním týmem CSIRT, abyste pomohli zmapovat a narušit operace aktéra.
