דלת אחורית של CABINETRAT
חוקרי אינפו-סק פרסמו התראה על קמפיין ממוקד שנצפתה בספטמבר 2025, אשר מתקין דלת אחורית בשפת C, אשר עוקבה אחר CABINETRAT. על פי צוות תגובת החירום הממוחשב של אוקראינה (CERT‑UA), הפעילות מיוחסת לאשכול עוקב (UAC‑0245) לאחר שהאנליסטים גילו תוספים של Microsoft Excel (קבצי XLL) בעלי נשק ששימשו בשרשרת התקיפה.
תוכן העניינים
קבצי ZIP ומסמך משטרתי מזויף
על פי הדיווחים, התוקפים ארזו את קבצי ה-XLL הזדוניים בתוך ארכיוני ZIP והפיצו אותם דרך אפליקציית המסרים Signal, כשהם מתחזים למסמך הקשור למעצרים בגבול אוקראינה. כאשר קורבן מחלץ ופותח את קובץ ה-XLL, רצף השחרור מתחיל.
מה שהטפטפת יוצרת
מספר קבצים נוצרים במערכות שנפרצו, כולל:
- קובץ EXE שהונח בתיקיית ההפעלה של Windows
- קובץ XLL בשם BasicExcelMath.xll בקובץ %APPDATA%\Microsoft\Excel\XLSTART\
- קובץ PNG בשם Office.png אשר למעשה נושא קוד מעטפת מוטמע
קבצים אלה נוצרים על המארח כחלק מתהליך persistence ו- payload-staging.
כיצד מופעל המטען
ה-XLL המושתל מגדיר ערכי רישום כדי להבטיח שה-EXE יפעל בעת ההפעלה, לאחר מכן מפעיל את Excel (excel.exe) עם הבורר /e (embed) במצב מוסתר כך שהתוסף נטען בשקט. ה-XLL המוטען מחלץ קוד מעטפת מוסתר בתוך תמונת PNG הנלווית; קוד מעטפת זה הוא שתל CABINETRAT. ההנחיות של מיקרוסופט מציינות שתוספות XLL לא מהימנות מנוצלות לרעה בדרך כלל על ידי גורמי איום, וגרסאות מודרניות של Excel חוסמות קבצי XLL לא מהימנים כברירת מחדל - אך הנדסה חברתית ואישור משתמשים עדיין יכולים לאפשר להן לפעול.
אנטי-אנליזות ומדדי ארגז חול
גם טוען ה-XLL וגם קוד המעטפת בזיכרון מבצעים בדיקות אנטי-VM ואנטי-אנליזה. דוגמאות שנצפו בדגימות כוללות אימות של לפחות שתי ליבות CPU, בדיקה של מינימום של כ-3 ג'יגה-בייט של RAM, וחיפוש אחר ארטיפקטים של וירטואליזציה או ניתוח (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). בדיקות אלו נועדו לבטל או לשנות התנהגות בסביבות מעבדה/ארגז חול ולהפחית את הסבירות לגילוי.
היכולות הזדוניות של CABINETRAT
CABINETRAT הוא תוכנת backdoor מלאה שנכתבה בשפת C. היכולות המתועדות שלה כוללות: ספירת מערכת (מידע על מערכת הפעלה וחומרה), רישום יישומים מותקנים, צילום מסך, ספירת ספריות, הסרת קבצים או תיקיות ספציפיים, ביצוע פקודות שרירותיות והעלאה/הורדה של קבצים. תקשורת רשת מתרחשת דרך ערוץ TCP לתשתית פיקוד ובקרה (C2) מרוחקת, מה שמאפשר למפעילים אינטראקציה עם מארחים נגועים.
קמפיינים דומים נגד אוקראינה
גילוי זה מגיע בעקבות קמפיינים ממוקדים אחרים נגד גופים אוקראינים. חוקרים דיווחו לאחרונה על מבצע פישינג נפרד ללא קבצים שהתחזה למשטרה הלאומית של אוקראינה וסיפק מטענים כגון Amatera Stealer (גניבת נתונים) ו-PureMiner (קריפטומיינינג), מה שממחיש כי מספר וקטורים ומשפחות של תוכנות זדוניות נמצאות בשימוש במקביל נגד ארגונים באזור.
ניטור, סיאולטציה, תיקון
בהתחשב באופיו הפעיל והממוקד של קמפיין זה ובטקטיקות האנטי-אנליזה של המפעילים, על המגנים להניח שכל ארכיון חשוד המועבר על ידי Signal המכיל תוספי Office הוא בעל פוטנציאל זדוני. תנו עדיפות לבלימת מארחים חשודים, אספו ממצאים נדיפים (רשימות תהליכים, זיכרון, חיבורי רשת) ושתפו אינדיקטורים מאושרים עם CERT-UA או עם ה-CSIRT המקומי שלכם כדי לסייע במיפוי ושיבוש פעולות הגורם.
