CABINETRAT Bagdør
Infosec-forskere har offentliggjort en advarsel om en målrettet kampagne observeret i september 2025, der installerer en C-sproget bagdør sporet som CABINETRAT. Ifølge Computer Emergency Response Team of Ukraine (CERT-UA) tilskrives aktiviteten en sporet klynge (UAC-0245), efter at analytikerne opdagede bevæbnede Microsoft Excel-tilføjelsesprogrammer (XLL-filer), der blev brugt i angrebskæden.
Indholdsfortegnelse
ZIP-filer og et falsk politidokument
Ifølge rapporterne pakkede angriberne de ondsindede XLL'er i ZIP-arkiver og distribuerede dem via Signal-beskedappen, hvor de udgav sig for at være et dokument relateret til tilbageholdelser ved den ukrainske grænse. Når et offer udtrækker og åbner XLL'en, begynder drop-sekvensen.
Hvad Dropperen skaber
Der genereres adskillige filer på de kompromitterede systemer, herunder:
- en EXE placeret i Windows startmappen
- en XLL med navnet BasicExcelMath.xll i %APPDATA%\Microsoft\Excel\XLSTART\
- en PNG ved navn Office.png, der faktisk indeholder indlejret shellcode
Disse filer oprettes på værten som en del af persistens og payload-staging.
Sådan aktiveres nyttelasten
Den implanterede XLL konfigurerer registreringsdatabaseposter for at sikre, at EXE'en kører ved opstart, og starter derefter Excel (excel.exe) med /e (embed)-parameteren i skjult tilstand, så tilføjelsesprogrammet indlæses lydløst. Den indlæste XLL udtrækker shellkode, der er skjult i det ledsagende PNG-billede; denne shellkode er CABINETRAT-implantatet. Microsofts vejledning bemærker, at ikke-tillid XLL-tilføjelsesprogrammer ofte misbruges af trusselsaktører, og moderne Excel-versioner blokerer ikke-tillid XLL'er som standard - men social engineering og brugergodkendelse kan stadig lade dem køre.
Antianalyser og sandkassemålinger
Både XLL-loaderen og shellcoden i hukommelsen udfører anti-VM- og anti-analysekontroller. Eksempler observeret i prøverne omfatter verifikation af, at der er mindst to CPU-kerner, kontrol af mindst ~3 GB RAM og jagt efter virtualiserings- eller analyseartefakter (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Disse kontroller har til formål at afbryde eller ændre adfærd i laboratorie-/sandkassemiljøer og reducere sandsynligheden for detektion.
CABINETRATs ondsindede funktioner
CABINETRAT er en komplet bagdør skrevet i C. Dens dokumenterede funktioner omfatter: systemoptælling (OS- og hardwareinfo), liste over installerede applikationer, tage skærmbilleder, optælle mapper, fjerne specificerede filer eller mapper, udføre vilkårlige kommandoer og uploade/downloade filer. Netværkskommunikation foregår via en TCP-kanal til en fjern Command-and-Control (C2)-infrastruktur, hvilket giver operatører mulighed for at interagere med inficerede værter.
Lignende kampagner mod Ukraine
Denne afsløring kommer i kølvandet på andre meget målrettede kampagner mod ukrainske enheder. Forskere rapporterede for nylig en separat filløs phishing-operation, der efterlignede Ukraines nationale politi og leverede nyttelast som Amatera Stealer (datatyveri) og PureMiner (kryptomining), hvilket illustrerer, at flere vektorer og malwarefamilier bruges parallelt mod organisationer i regionen.
Overvåg, Siolér, Afhjælp
I betragtning af denne kampagnes aktive og målrettede karakter og operatørernes anti-analysetaktikker bør forsvarere antage, at ethvert mistænkeligt Signal-leveret arkiv, der indeholder Office-tilføjelsesprogrammer, potentielt er skadeligt. Prioriter inddæmning af mistænkte værter, indsaml flygtige artefakter (proceslister, hukommelse, netværksforbindelser), og del bekræftede indikatorer med CERT-UA eller din lokale CSIRT for at hjælpe med at kortlægge og forstyrre aktørens operationer.
