CABINETRAT Κερκόπορτα
Οι ερευνητές της Infosec δημοσίευσαν μια ειδοποίηση σχετικά με μια στοχευμένη καμπάνια που παρατηρήθηκε τον Σεπτέμβριο του 2025 και η οποία εγκαθιστά ένα backdoor σε γλώσσα C, το οποίο παρακολουθείται ως CABINETRAT. Σύμφωνα με την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT‑UA), η δραστηριότητα αποδίδεται σε ένα παρακολουθούμενο σύμπλεγμα (UAC‑0245), αφού οι αναλυτές ανακάλυψαν οπλισμένα πρόσθετα του Microsoft Excel (αρχεία XLL) που χρησιμοποιούνται στην αλυσίδα επίθεσης.
Πίνακας περιεχομένων
Αρχεία ZIP και ένα πλαστό αστυνομικό έγγραφο
Σύμφωνα με τις αναφορές, οι εισβολείς συσκεύασαν τα κακόβουλα XLL μέσα σε αρχεία ZIP και τα διένειμαν μέσω της εφαρμογής ανταλλαγής μηνυμάτων Signal, παρουσιάζοντας ως έγγραφο που σχετίζεται με κρατήσεις στα ουκρανικά σύνορα. Όταν ένα θύμα εξάγει και ανοίγει το XLL, ξεκινά η ακολουθία απόρριψης.
Τι δημιουργεί το Dropper
Δημιουργούνται πολλά αρχεία στα παραβιασμένα συστήματα, όπως:
- ένα αρχείο EXE τοποθετημένο στον φάκελο εκκίνησης των Windows
- ένα XLL με όνομα BasicExcelMath.xll στο %APPDATA%\Microsoft\Excel\XLSTART\
- ένα PNG με όνομα Office.png που στην πραγματικότητα φέρει ενσωματωμένο shellcode
Αυτά τα αρχεία δημιουργούνται στον κεντρικό υπολογιστή ως μέρος της διατήρησης και της σταδιοποίησης ωφέλιμου φορτίου.
Πώς ενεργοποιείται το ωφέλιμο φορτίο
Το εμφυτευμένο XLL ρυθμίζει τις καταχωρήσεις μητρώου για να διασφαλίσει ότι το EXE εκτελείται κατά την εκκίνηση και, στη συνέχεια, εκκινεί το Excel (excel.exe) με τον διακόπτη /e (ενσωμάτωση) σε κρυφή λειτουργία, ώστε το πρόσθετο να φορτώνεται αθόρυβα. Το φορτωμένο XLL εξάγει τον κώδικα shell που είναι κρυμμένος μέσα στην συνοδευτική εικόνα PNG. Αυτός ο κώδικας shell είναι το εμφύτευμα CABINETRAT. Οι οδηγίες της Microsoft σημειώνουν ότι τα μη αξιόπιστα πρόσθετα XLL συνήθως καταχρώνται από απειλητικούς παράγοντες και οι σύγχρονες εκδόσεις του Excel αποκλείουν τα μη αξιόπιστα XLL από προεπιλογή — αλλά η κοινωνική μηχανική και η έγκριση των χρηστών μπορούν να τα αφήσουν να εκτελεστούν.
Αντι-αναλύσεις και μέτρα sandbox
Τόσο ο φορτωτής XLL όσο και ο ενσωματωμένος στη μνήμη κώδικας εκτελούν ελέγχους anti-VM και anti-analysis. Παραδείγματα που παρατηρήθηκαν στα δείγματα περιλαμβάνουν την επαλήθευση ότι υπάρχουν τουλάχιστον δύο πυρήνες CPU, τον έλεγχο για τουλάχιστον ~3 GB RAM και την αναζήτηση αντικειμένων εικονικοποίησης ή ανάλυσης (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Αυτοί οι έλεγχοι αποσκοπούν στη διακοπή ή την αλλαγή της συμπεριφοράς σε περιβάλλοντα εργαστηρίου/sandbox και στη μείωση της πιθανότητας ανίχνευσης.
Κακόβουλες Δυνατότητες του CABINETRAT
Το CABINETRAT είναι ένα πλήρες backdoor γραμμένο σε C. Οι τεκμηριωμένες δυνατότητές του περιλαμβάνουν: απαρίθμηση συστήματος (πληροφορίες λειτουργικού συστήματος και υλικού), καταγραφή εγκατεστημένων εφαρμογών, λήψη στιγμιότυπων οθόνης, απαρίθμηση καταλόγων, κατάργηση καθορισμένων αρχείων ή φακέλων, εκτέλεση αυθαίρετων εντολών και μεταφόρτωση/λήψη αρχείων. Οι επικοινωνίες δικτύου πραγματοποιούνται μέσω ενός καναλιού TCP σε απομακρυσμένη υποδομή Command‑and‑Control (C2), επιτρέποντας στους χειριστές να αλληλεπιδρούν με μολυσμένους κεντρικούς υπολογιστές.
Παρόμοιες εκστρατείες κατά της Ουκρανίας
Αυτή η αποκάλυψη έρχεται μετά από άλλες εξαιρετικά στοχευμένες εκστρατείες εναντίον ουκρανικών οντοτήτων. Οι ερευνητές ανέφεραν πρόσφατα μια ξεχωριστή επιχείρηση ηλεκτρονικού "ψαρέματος" χωρίς αρχεία που πλαστοπροσωπούσε την Εθνική Αστυνομία της Ουκρανίας και παρέδωσε ωφέλιμα φορτία όπως το Amatera Stealer (κλοπή δεδομένων) και το PureMiner (εξόρυξη κρυπτονομισμάτων), καταδεικνύοντας ότι πολλαπλοί φορείς και οικογένειες κακόβουλου λογισμικού χρησιμοποιούνται παράλληλα εναντίον οργανισμών στην περιοχή.
Παρακολούθηση, Απομόνωση, Αποκατάσταση
Δεδομένης της ενεργής, στοχευμένης φύσης αυτής της καμπάνιας και των τακτικών κατά της ανάλυσης των χειριστών, οι υπερασπιστές θα πρέπει να υποθέσουν ότι οποιοδήποτε ύποπτο αρχείο που παραδίδεται από το Signal και περιέχει πρόσθετα του Office είναι δυνητικά κακόβουλο. Δώστε προτεραιότητα στον περιορισμό ύποπτων κεντρικών υπολογιστών, συλλέξτε πτητικά αντικείμενα (λίστες διεργασιών, μνήμη, συνδέσεις δικτύου) και κοινοποιήστε επιβεβαιωμένους δείκτες στο CERT‑UA ή στο τοπικό σας CSIRT για να βοηθήσετε στη χαρτογράφηση και τη διακοπή των λειτουργιών του δράστη.
