CABINETRAT Takaovi
Tietoturvatutkijat ovat julkaisseet varoituksen syyskuussa 2025 havaitusta kohdennetusta kampanjasta, joka asentaa C-kielisen takaoven, jota seurataan nimellä CABINETRAT. Ukrainan tietoturvayksikön (CERT-UA) mukaan toiminta johtuu seuratusta hyökkäysrypaasta (UAC-0245) sen jälkeen, kun analyytikot löysivät hyökkäysketjussa käytettyjä aseistettuja Microsoft Excel -lisäosia (XLL-tiedostoja).
Sisällysluettelo
ZIP-tiedostot ja väärennetty poliisiasiakirja
Raporttien mukaan hyökkääjät pakkasivat haitalliset XLL-tiedostot ZIP-arkistojen sisään ja levittivät niitä Signal-viestisovelluksen kautta tekeytyen Ukrainan rajalla tapahtuneisiin pidätyksiin liittyväksi asiakirjaksi. Kun uhri purkaa ja avaa XLL-tiedoston, tiedostojen pudotussekvenssi alkaa.
Mitä pipetti luo
Useita tiedostoja luodaan vaarantuneissa järjestelmissä, mukaan lukien:
- EXE-tiedosto, joka on sijoitettu Windowsin käynnistyskansioon
- XLL-tiedosto nimeltä BasicExcelMath.xll tiedostossa %APPDATA%\Microsoft\Excel\XLSTART\
- Office.png-niminen PNG-kuva, joka sisältää itse asiassa upotetun komentotulkin
Nämä tiedostot luodaan isännälle osana pysyvyyttä ja hyötykuorman valmistelua.
Kuinka hyötykuorma aktivoidaan
Asennettu XLL-tiedosto konfiguroi rekisterimerkinnät varmistaakseen, että EXE-tiedosto suoritetaan käynnistyksen yhteydessä, ja käynnistää sitten Excelin (excel.exe) /e (embed) -valitsimella piilotetussa tilassa, jotta lisäosa latautuu äänettömästi. Ladattu XLL poimii PNG-kuvan sisällä piilotetun komentotulkkikoodin; tämä komentotulkkikoodi on CABINETRAT-implantti. Microsoftin ohjeissa todetaan, että hyökkäystoimijat usein väärinkäyttävät epäluotettavia XLL-lisäosia, ja nykyaikaiset Excel-versiot estävät epäluotettavat XLL-tiedostot oletusarvoisesti – mutta sosiaalinen manipulointi ja käyttäjän hyväksyntä voivat silti sallia niiden suorittamisen.
Anti-analyysit ja hiekkalaatikkotoimenpiteet
Sekä XLL-lataaja että muistissa oleva shell-koodi suorittavat virtuaalikoneiden ja analyysien vastaisia tarkistuksia. Esimerkeissä havaittuihin tarkistuksiin kuuluvat vähintään kahden suorittimen ytimen tarkistaminen, vähintään noin 3 Gt:n RAM-muistin tarkistaminen ja virtualisointi- tai analyysiartefaktien (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) etsiminen. Näiden tarkistusten tarkoituksena on keskeyttää tai muuttaa toimintaa laboratorio-/hiekkalaatikkoympäristöissä ja vähentää havaitsemisen todennäköisyyttä.
CABINETRATin haitalliset ominaisuudet
CABINETRAT on täysin C-kielellä kirjoitettu takaportti. Sen dokumentoituihin ominaisuuksiin kuuluvat: järjestelmän luettelointi (käyttöjärjestelmä- ja laitteistotiedot), asennettujen sovellusten luettelointi, kuvakaappausten ottaminen, hakemistojen luettelointi, määritettyjen tiedostojen tai kansioiden poistaminen, mielivaltaisten komentojen suorittaminen sekä tiedostojen lataaminen ja lataaminen. Verkkoviestintä tapahtuu TCP-kanavan kautta etäkomento- ja -ohjausinfrastruktuuriin (C2), jonka avulla operaattorit voivat olla vuorovaikutuksessa tartunnan saaneiden isäntäkoneiden kanssa.
Samankaltaisia kampanjoita Ukrainaa vastaan
Tämä paljastus seuraa muita ukrainalaisia toimijoita vastaan kohdistettuja kampanjoita. Tutkijat raportoivat äskettäin erillisestä tiedostottomasta tietojenkalasteluoperaatiosta, jossa esiintyi Ukrainan kansallisena poliisina ja toimitettiin hyötykuiluja, kuten Amatera Stealer (tietovarkaus) ja PureMiner (kryptolouhinta). Tämä osoittaa, että useita vektoreita ja haittaohjelmaperheitä käytetään rinnakkain alueen organisaatioita vastaan.
Seuraa, poista, korjaa
Ottaen huomioon tämän kampanjan aktiivisen ja kohdennetun luonteen sekä operaattoreiden analyysinvastaiset taktiikat, puolustajien tulisi olettaa, että kaikki epäilyttävät Signal-toimittamat Office-apuohjelmia sisältävät arkistot ovat mahdollisesti haitallisia. Priorisoi epäiltyjen isäntien eristäminen, kerää haihtuvia esineitä (prosessiluettelot, muisti, verkkoyhteydet) ja jaa vahvistetut indikaattorit CERT-UA:n tai paikallisen CSIRT-ryhmän kanssa, jotta voit kartoittaa ja häiritä toimijoiden toimintaa.
