CABINETRAT पिछले दरवाजे
इन्फोसेक के शोधकर्ताओं ने सितंबर 2025 में देखे गए एक लक्षित अभियान के बारे में एक चेतावनी प्रकाशित की है जो CABINETRAT के रूप में ट्रैक किया गया एक C-भाषा बैकडोर स्थापित करता है। यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-UA) के अनुसार, इस गतिविधि का श्रेय एक ट्रैक किए गए क्लस्टर (UAC-0245) को दिया जा रहा है, क्योंकि विश्लेषकों ने हमले की श्रृंखला में इस्तेमाल किए गए हथियारबंद माइक्रोसॉफ्ट एक्सेल ऐड-इन्स (XLL फ़ाइलें) की खोज की है।
विषयसूची
ज़िप फ़ाइलें और एक नकली पुलिस दस्तावेज़
रिपोर्टों के अनुसार, हमलावरों ने दुर्भावनापूर्ण XLL फ़ाइलों को ज़िप आर्काइव्स में पैक करके सिग्नल मैसेजिंग ऐप पर वितरित कर दिया, और उन्हें यूक्रेनी सीमा पर हिरासत से संबंधित दस्तावेज़ बताकर साझा किया। जब कोई पीड़ित XLL फ़ाइल को निकालकर खोलता है, तो ड्रॉप अनुक्रम शुरू हो जाता है।
ड्रॉपर क्या बनाता है
प्रभावित सिस्टम पर कई फाइलें तैयार की जा रही हैं, जिनमें शामिल हैं:
- विंडोज़ स्टार्टअप फ़ोल्डर में रखा गया एक EXE
- %APPDATA%\Microsoft\Excel\XLSTART\ में BasicExcelMath.xll नामक एक XLL
- Office.png नामक एक PNG जिसमें वास्तव में एम्बेडेड शेलकोड होता है
ये फ़ाइलें होस्ट पर दृढ़ता और पेलोड-स्टेजिंग के भाग के रूप में बनाई जाती हैं।
पेलोड कैसे सक्रिय होता है
प्रत्यारोपित XLL रजिस्ट्री प्रविष्टियों को इस तरह कॉन्फ़िगर करता है कि स्टार्टअप पर EXE चलता रहे, फिर Excel (excel.exe) को /e (एम्बेड) स्विच के साथ हिडन मोड में लॉन्च करता है ताकि ऐड-इन चुपचाप लोड हो जाए। लोड किया गया XLL, PNG इमेज के अंदर छिपे शेलकोड को निकालता है; वह शेलकोड CABINETRAT इम्प्लांट है। Microsoft के दिशानिर्देशों में कहा गया है कि अविश्वसनीय XLL ऐड-इन्स का आमतौर पर ख़तरा पैदा करने वाले तत्वों द्वारा दुरुपयोग किया जाता है, और आधुनिक Excel संस्करण डिफ़ॉल्ट रूप से अविश्वसनीय XLL को ब्लॉक कर देते हैं—लेकिन सोशल इंजीनियरिंग और उपयोगकर्ता की स्वीकृति उन्हें अभी भी चलने दे सकती है।
एंटी-विश्लेषण और सैंडबॉक्स उपाय
XLL लोडर और इन-मेमोरी शेलकोड दोनों ही एंटी-वीएम और एंटी-एनालिसिस जाँच करते हैं। नमूनों में देखे गए उदाहरणों में कम से कम दो CPU कोर की जाँच, कम से कम ~3 GB RAM की जाँच, और वर्चुअलाइज़ेशन या विश्लेषण आर्टिफैक्ट्स (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) की खोज शामिल है। इन जाँचों का उद्देश्य लैब/सैंडबॉक्स वातावरण में व्यवहार को रोकना या बदलना और पता लगाने की संभावना को कम करना है।
कैबिनेट्रेट की दुर्भावनापूर्ण क्षमताएँ
CABINETRAT C में लिखा गया एक पूर्ण बैकडोर है। इसकी प्रलेखित क्षमताओं में शामिल हैं: सिस्टम गणना (OS और हार्डवेयर जानकारी), इंस्टॉल किए गए एप्लिकेशन की सूची बनाना, स्क्रीनशॉट लेना, निर्देशिकाओं की गणना करना, निर्दिष्ट फ़ाइलों या फ़ोल्डरों को हटाना, मनमाने आदेशों का निष्पादन, और फ़ाइलें अपलोड/डाउनलोड करना। नेटवर्क संचार एक TCP चैनल के माध्यम से दूरस्थ कमांड-एंड-कंट्रोल (C2) इन्फ्रास्ट्रक्चर तक होता है, जिससे ऑपरेटर संक्रमित होस्ट के साथ इंटरैक्ट कर सकते हैं।
यूक्रेन के खिलाफ इसी तरह के अभियान
यह खुलासा यूक्रेनी संस्थाओं के खिलाफ अन्य अत्यधिक लक्षित अभियानों के बाद आया है। शोधकर्ताओं ने हाल ही में एक अलग फ़ाइल-रहित फ़िशिंग अभियान की सूचना दी थी जिसमें यूक्रेन की राष्ट्रीय पुलिस का रूप धारण किया गया था और अमाटेरा स्टीलर (डेटा चोरी) और प्योरमाइनर (क्रिप्टोमाइनिंग) जैसे पेलोड वितरित किए गए थे, जिससे पता चलता है कि इस क्षेत्र में संगठनों के खिलाफ कई वेक्टर और मैलवेयर परिवारों का समानांतर रूप से उपयोग किया जा रहा है।
निगरानी करें, अलग करें, उपचार करें
इस अभियान की सक्रिय, लक्षित प्रकृति और ऑपरेटरों की विश्लेषण-विरोधी रणनीति को देखते हुए, बचावकर्ताओं को यह मान लेना चाहिए कि Office ऐड-इन्स वाला कोई भी संदिग्ध सिग्नल-वितरित संग्रह संभावित रूप से दुर्भावनापूर्ण है। संदिग्ध होस्ट्स की रोकथाम को प्राथमिकता दें, अस्थिर आर्टिफैक्ट्स (प्रक्रिया सूचियाँ, मेमोरी, नेटवर्क कनेक्शन) एकत्र करें, और CERT-UA या अपने स्थानीय CSIRT के साथ पुष्ट संकेतक साझा करें ताकि सक्रियकर्ता के संचालन को मैप करने और बाधित करने में मदद मिल सके।
