CABINETRAT Backdoor

محققان Infosec هشداری در مورد یک کمپین هدفمند مشاهده شده در سپتامبر 2025 منتشر کرده‌اند که یک در پشتی به زبان C با نام CABINETRAT نصب می‌کند. طبق گفته تیم واکنش اضطراری رایانه‌ای اوکراین (CERT‑UA)، این فعالیت پس از کشف افزونه‌های مخرب مایکروسافت اکسل (فایل‌های XLL) که در زنجیره حمله مورد استفاده قرار گرفته‌اند، به یک خوشه ردیابی شده (UAC‑0245) نسبت داده می‌شود.

فایل‌های زیپ و یک سند جعلی پلیس

طبق گزارش‌ها، مهاجمان فایل‌های مخرب XLL را در فایل‌های فشرده ZIP بسته‌بندی کرده و آنها را از طریق برنامه پیام‌رسان Signal توزیع کردند و خود را به عنوان سندی مربوط به بازداشت‌ها در مرز اوکراین جا زدند. هنگامی که قربانی XLL را استخراج و باز می‌کند، توالی رهاسازی آغاز می‌شود.

آنچه قطره‌چکان ایجاد می‌کند

چندین فایل در سیستم‌های آسیب‌دیده ایجاد می‌شوند، از جمله:

• یک فایل EXE که در پوشه Startup ویندوز قرار داده شده است.
• یک فایل XLL با نام BasicExcelMath.xll در مسیر %APPDATA%\Microsoft\Excel\XLSTART\
• یک فایل PNG با نام Office.png که در واقع حاوی shellcode جاسازی‌شده است.

این فایل‌ها به عنوان بخشی از فرآیند ماندگاری و آماده‌سازی بار داده (payload-staging) روی میزبان ایجاد می‌شوند.

نحوه فعال شدن Payload

XLL جاسازی‌شده، ورودی‌های رجیستری را پیکربندی می‌کند تا از اجرای EXE در هنگام راه‌اندازی اطمینان حاصل شود، سپس اکسل (excel.exe) را با سوئیچ /e (embed) در حالت پنهان اجرا می‌کند تا افزونه بی‌صدا بارگیری شود. XLL بارگذاری‌شده، shellcode پنهان‌شده در تصویر PNG همراه را استخراج می‌کند؛ آن shellcode همان افزونه CABINETRAT است. در راهنمای مایکروسافت آمده است که افزونه‌های XLL نامعتبر معمولاً توسط مهاجمان مورد سوءاستفاده قرار می‌گیرند و نسخه‌های مدرن اکسل به‌طور پیش‌فرض XLLهای نامعتبر را مسدود می‌کنند - اما مهندسی اجتماعی و تأیید کاربر همچنان می‌تواند به آنها اجازه اجرا دهد.

اقدامات ضد آنالیز و سندباکس

هم لودر XLL و هم شل‌کد درون حافظه‌ای، بررسی‌های ضد ماشین مجازی و ضد تحلیل را انجام می‌دهند. نمونه‌های مشاهده‌شده در نمونه‌ها شامل تأیید وجود حداقل دو هسته پردازنده، بررسی حداقل حدود ۳ گیگابایت رم و جستجوی مصنوعات مجازی‌سازی یا تحلیل (VMware، VirtualBox، Xen، QEMU، Parallels، Hyper‑V) است. این بررسی‌ها برای لغو یا تغییر رفتار در محیط‌های آزمایشگاهی/سندباکس و کاهش احتمال شناسایی در نظر گرفته شده‌اند.

قابلیت‌های مخرب CABINETRAT

CABINETRAT یک درِ پشتی کامل است که به زبان C نوشته شده است. قابلیت‌های مستند شده‌ی آن عبارتند از: شمارش سیستم (اطلاعات سیستم عامل و سخت‌افزار)، فهرست کردن برنامه‌های نصب شده، گرفتن اسکرین‌شات، شمارش دایرکتوری‌ها، حذف فایل‌ها یا پوشه‌های مشخص شده، اجرای دستورات دلخواه و آپلود/دانلود فایل‌ها. ارتباطات شبکه از طریق کانال TCP به زیرساخت فرماندهی و کنترل (C2) از راه دور انجام می‌شود و به اپراتورها اجازه می‌دهد تا با میزبان‌های آلوده تعامل داشته باشند.

کمپین‌های مشابه علیه اوکراین

این افشاگری در پی سایر کمپین‌های بسیار هدفمند علیه نهادهای اوکراینی صورت می‌گیرد. محققان اخیراً از یک عملیات فیشینگ بدون فایل جداگانه خبر دادند که خود را به جای پلیس ملی اوکراین جا زده و بارهای داده‌ای مانند Amatera Stealer (سرقت داده‌ها) و PureMiner (کریپتوماینینگ) را منتقل می‌کرد، که نشان می‌دهد چندین بردار و خانواده بدافزار به طور موازی علیه سازمان‌های منطقه استفاده می‌شوند.

نظارت، سیولیت، اصلاح

با توجه به ماهیت فعال و هدفمند این کمپین و تاکتیک‌های ضدتحلیلی اپراتورها، مدافعان باید هرگونه آرشیو مشکوک ارائه شده توسط Signal که حاوی افزونه‌های آفیس است را بالقوه مخرب فرض کنند. مهار میزبان‌های مشکوک را در اولویت قرار دهید، مصنوعات ناپایدار (لیست فرآیندها، حافظه، اتصالات شبکه) را جمع‌آوری کنید و شاخص‌های تأیید شده را با CERT‑UA یا CSIRT محلی خود به اشتراک بگذارید تا به نقشه‌برداری و مختل کردن عملیات عامل حمله کمک کنید.