CABINETRAT Backdoor
Infoturbe uurijad avaldasid hoiatuse 2025. aasta septembris täheldatud sihipärase kampaania kohta, mis installib C-keele tagaukse, mida jälgitakse nime all CABINETRAT. Ukraina arvutiintsidentidele reageerimise meeskonna (CERT-UA) andmetel omistatakse tegevus jälgitavale klastrile (UAC-0245) pärast seda, kui analüütikud avastasid rünnakuahelas kasutatud relvastatud Microsoft Exceli lisandmooduleid (XLL-faile).
Sisukord
ZIP-failid ja võltsitud politseidokument
Aruannete kohaselt pakkisid ründajad pahatahtlikud XLL-failid ZIP-arhiividesse ja levitasid neid Signal-sõnumirakenduse kaudu, teeseldes, et tegemist on Ukraina piiril kinnipidamistega seotud dokumendiga. Kui ohver XLL-faili lahti pakib ja avab, algab failide eemaldamise jada.
Mida tilguti loob
Ohustatud süsteemides genereeritakse mitu faili, sealhulgas:
- EXE-fail, mis on paigutatud Windowsi käivituskausta
- XLL-fail nimega BasicExcelMath.xll kaustas %APPDATA%\Microsoft\Excel\XLSTART\
- PNG nimega Office.png, mis sisaldab manustatud koodi
Need failid luuakse hostis püsivuse ja kasuliku koormuse ettevalmistamise osana.
Kuidas kasulikku koormust aktiveeritakse
Implanteeritud XLL konfigureerib registrikirjed tagamaks, et EXE käivituks käivitamisel, seejärel käivitab Exceli (excel.exe) peidetud režiimis lülitiga /e (embed), nii et lisandmoodul laadib vaikselt. Laaditud XLL ekstraheerib PNG-pildi seest peidetud kestakoodi; see kestakood on implantaat CABINETRAT. Microsofti juhistes märgitakse, et ebausaldusväärseid XLL-lisandmooduleid kuritarvitavad sageli ohurühmad ja tänapäevased Exceli versioonid blokeerivad ebausaldusväärsed XLL-id vaikimisi – kuid sotsiaalne manipuleerimine ja kasutaja heakskiit võivad neid siiski käivitada.
Antianalüüsid ja liivakasti meetmed
Nii XLL-laadur kui ka mälus olev kestakood teostavad VM- ja analüüsivastaseid kontrolle. Näidetes täheldatud näidete hulka kuuluvad vähemalt kahe protsessori tuuma olemasolu kontrollimine, vähemalt ~3 GB muutmälu kontrollimine ja virtualiseerimis- või analüüsiartefaktide otsimine (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Nende kontrollide eesmärk on labori-/liivakastikeskkondades käitumise katkestamine või muutmine ning tuvastamise tõenäosuse vähendamine.
CABINETRATi pahatahtlikud võimed
CABINETRAT on täielik C-keeles kirjutatud tagauks. Selle dokumenteeritud võimaluste hulka kuuluvad: süsteemi loendamine (operatsioonisüsteemi ja riistvara teave), installitud rakenduste loetlemine, ekraanipiltide tegemine, kataloogide loetlemine, määratud failide või kaustade eemaldamine, suvaliste käskude täitmine ning failide üles- ja allalaadimine. Võrgukommunikatsioon toimub TCP-kanali kaudu kaugjuhtimise (C2) infrastruktuuriga, võimaldades operaatoritel suhelda nakatunud hostidega.
Sarnased kampaaniad Ukraina vastu
See avalikustamine järgneb teistele Ukraina üksuste vastu suunatud sihipärastele kampaaniatele. Hiljuti teatasid teadlased eraldi failideta andmepüügioperatsioonist, mis teeskles Ukraina riikliku politsei identiteedi olemasolu ja edastas selliseid kasulikke materjale nagu Amatera Stealer (andmete vargus) ja PureMiner (krüptokaevandamine), mis näitab, et piirkonna organisatsioonide vastu kasutatakse paralleelselt mitut vektorit ja pahavara perekonda.
Jälgi, eralda, kõrvalda
Arvestades selle kampaania aktiivset ja sihipärast olemust ning operaatorite analüüsivastast taktikat, peaksid kaitsjad eeldama, et iga kahtlane Office'i lisandmooduleid sisaldav Signal-edastusega arhiiv on potentsiaalselt pahatahtlik. Eelistage kahtlustatavate hostide ohjeldamist, koguge volatiilseid esemeid (protsesside loendid, mälu, võrguühendused) ja jagage kinnitatud näitajaid CERT-UA-ga või kohaliku CSIRT-iga, et aidata osalejate tegevust kaardistada ja häirida.
