CABINETRAT Backdoor
Istraživači Infoseca objavili su upozorenje o ciljanoj kampanji uočenoj u rujnu 2025. koja instalira backdoor programski jezik C praćen kao CABINETRAT. Prema Ukrajinskom timu za odgovor na računalne hitne slučajeve (CERT‑UA), aktivnost se pripisuje praćenom klasteru (UAC‑0245) nakon što su analitičari otkrili dodatke za Microsoft Excel (XLL datoteke) koji su korišteni u lancu napada.
Sadržaj
ZIP datoteke i lažni policijski dokument
Prema izvješćima, napadači su zlonamjerne XLL datoteke zapakirali u ZIP arhive i distribuirali ih putem aplikacije za razmjenu poruka Signal, predstavljajući se kao dokument vezan uz pritvore na ukrajinskoj granici. Kada žrtva izdvoji i otvori XLL datoteku, započinje slijed preuzimanja.
Što kapaljka stvara
Na kompromitiranim sustavima generira se nekoliko datoteka, uključujući:
- EXE datoteka smještena u mapu Startup sustava Windows
- XLL pod nazivom BasicExcelMath.xll u %APPDATA%\Microsoft\Excel\XLSTART\
- PNG pod nazivom Office.png koji zapravo sadrži ugrađeni shellcode
Ove datoteke se stvaraju na hostu kao dio perzistencije i pripreme korisnog tereta.
Kako se aktivira korisni teret
Implantirani XLL konfigurira unose u registru kako bi se osiguralo pokretanje EXE datoteke pri pokretanju sustava, a zatim pokreće Excel (excel.exe) s parametrom /e (embed) u skrivenom načinu rada tako da se dodatak tiho učitava. Učitani XLL izdvaja shellcode skriven unutar prateće PNG slike; taj shellcode je CABINETRAT implant. Microsoftove smjernice napominju da se nepouzdani XLL dodaci često zloupotrebljavaju od strane prijetnji, a moderne verzije Excela blokiraju nepouzdane XLL-ove prema zadanim postavkama - ali socijalni inženjering i odobrenje korisnika i dalje im mogu omogućiti pokretanje.
Anti-analize i mjere u sandboxu
I XLL učitavač i shellcode u memoriji provode anti-VM i anti-analitske provjere. Primjeri uočeni u uzorcima uključuju provjeru postojanja barem dvije CPU jezgre, provjeru minimalno ~3 GB RAM-a i traženje artefakata virtualizacije ili analize (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Ove provjere namijenjene su prekidu ili promjeni ponašanja u laboratorijskim/sandbox okruženjima i smanjenju vjerojatnosti otkrivanja.
Zlonamjerne sposobnosti CABINETRAT-a
CABINETRAT je potpuno backdoor napisan u C-u. Njegove dokumentirane mogućnosti uključuju: nabrajanje sustava (informacije o OS-u i hardveru), popis instaliranih aplikacija, snimanje zaslona, nabrajanje direktorija, uklanjanje određenih datoteka ili mapa, izvršavanje proizvoljnih naredbi i učitavanje/preuzimanje datoteka. Mrežna komunikacija odvija se putem TCP kanala s udaljenom infrastrukturom za upravljanje i kontrolu (C2), omogućujući operaterima interakciju sa zaraženim hostovima.
Slične kampanje protiv Ukrajine
Ovo otkriće dolazi nakon drugih visoko ciljanih kampanja protiv ukrajinskih subjekata. Istraživači su nedavno izvijestili o zasebnoj phishing operaciji bez datoteka koja se predstavljala kao Nacionalna policija Ukrajine i isporučivala pakete poput Amatera Stealer (krađa podataka) i PureMiner (rudarenje kriptovaluta), što ilustrira da se više vektora i obitelji zlonamjernog softvera paralelno koristi protiv organizacija u regiji.
Pratiti, izolirati, sanirati
S obzirom na aktivnu, ciljanu prirodu ove kampanje i taktike operatora protiv analize, branitelji bi trebali pretpostaviti da je svaka sumnjiva arhiva isporučena putem Signala koja sadrži dodatke za Office potencijalno zlonamjerna. Dajte prioritet obuzdavanju sumnjivih hostova, prikupljajte nestabilne artefakte (popise procesa, memoriju, mrežne veze) i dijelite potvrđene pokazatelje s CERT-UA ili vašim lokalnim CSIRT-om kako biste pomogli u mapiranju i ometanju operacija aktera.
