Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware CABINETRAT hátsó ajtó

CABINETRAT hátsó ajtó

Mezo -ra Malware, Hátsó ajtók-ben
Fordítás ide:

Az információs biztonsági kutatók riasztást tettek közzé egy 2025 szeptemberében megfigyelt célzott kampánnyal kapcsolatban, amely egy CABINETRAT néven nyomon követett C nyelvű hátsó ajtót telepít. Az ukrán számítógépes vészhelyzet-elhárító csoport (CERT-UA) szerint a tevékenység egy nyomon követett klaszterhez (UAC-0245) kapcsolódik, miután az elemzők fegyveres Microsoft Excel bővítményeket (XLL fájlokat) fedeztek fel a támadási láncban.

ZIP fájlok és egy hamis rendőrségi dokumentum

A jelentések szerint a támadók ZIP archívumokba csomagolták a rosszindulatú XLL-eket, majd a Signal üzenetküldő alkalmazáson keresztül terjesztették azokat, az ukrán határon történt őrizetbe vételekkel kapcsolatos dokumentumként álcázva magukat. Amikor az áldozat kinyeri és megnyitja az XLL-t, megkezdődik a leejtési folyamat.

Mit hoz létre a cseppentő

A feltört rendszereken számos fájl keletkezik, beleértve:

  • egy EXE fájlt a Windows Indítópult mappájába helyezve
  • egy BasicExcelMath.xll nevű XLL fájlt a %APPDATA%\Microsoft\Excel\XLSTART\ könyvtárban
  • egy Office.png nevű PNG, amely valójában beágyazott shellkódot tartalmaz

Ezek a fájlok a gazdagépen jönnek létre a perzisztencia és a hasznos terhelés előkészítésének részeként.

Hogyan aktiválódik a hasznos teher

A beültetett XLL konfigurálja a beállításjegyzékbeli bejegyzéseket, hogy az EXE indításkor fusson, majd rejtett módban, az /e (embed) kapcsolóval elindítja az Excelt (excel.exe), így a bővítmény csendben töltődik be. A betöltött XLL kinyeri a kísérő PNG képben elrejtett shellkódot; ez a shellkód a CABINETRAT beültetés. A Microsoft útmutatója megjegyzi, hogy a nem megbízható XLL bővítményeket gyakran használják ki a fenyegetések, és a modern Excel-verziók alapértelmezés szerint blokkolják a nem megbízható XLL-eket – de a társadalmi manipuláció és a felhasználói jóváhagyás továbbra is lehetővé teheti a futtatásukat.

Anti-analízisek és tesztkörnyezeti intézkedések

Mind az XLL betöltő, mind a memóriában lévő shellkód virtuálisgép- és elemzésgátló ellenőrzéseket végez. A mintákban megfigyelt példák közé tartozik legalább két CPU-mag meglétének ellenőrzése, legalább ~3 GB RAM ellenőrzése, valamint virtualizációs vagy elemzési műtermékek keresése (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Ezek az ellenőrzések a labor/tesztkörnyezetek viselkedésének megszakítására vagy módosítására, valamint az észlelés valószínűségének csökkentésére szolgálnak.

A CABINETRAT rosszindulatú képességei

A CABINETRAT egy teljes értékű hátsó ajtó, C nyelven íródott. Dokumentált képességei közé tartozik a rendszerfelmérés (operációs rendszer és hardver információk), a telepített alkalmazások listázása, képernyőképek készítése, könyvtárak felsorolása, megadott fájlok vagy mappák eltávolítása, tetszőleges parancsok végrehajtása, valamint fájlok feltöltése/letöltése. A hálózati kommunikáció TCP csatornán keresztül történik a távoli Command-and-Control (C2) infrastruktúrával, lehetővé téve az operátorok számára, hogy kapcsolatba lépjenek a fertőzött gazdagépekkel.

Hasonló kampányok Ukrajna ellen

Ez a leleplezés más, ukrán szervezetek ellen indított, célzott kampányok nyomán történt. A kutatók nemrégiben egy különálló, fájl nélküli adathalász műveletről számoltak be, amely az Ukrán Nemzeti Rendőrségnek adott ki személyazonosságot, és olyan hasznos fájlokat szállított, mint az Amatera Stealer (adatlopás) és a PureMiner (kriptobányászat), ami azt illusztrálja, hogy több vektort és rosszindulatú programcsaládot használnak párhuzamosan a régió szervezetei ellen.

Monitorozás, Szivárgásmentesítés, Kármentesítés

Tekintettel a kampány aktív, célzott jellegére és az üzemeltetők elemzésellenes taktikájára, a védőknek feltételezniük kell, hogy minden gyanús, Office-bővítményeket tartalmazó Signal által kézbesített archívum potenciálisan rosszindulatú. Priorizálják a gyanús gazdagépek elszigetelését, gyűjtsenek illékony leleteket (folyamatlisták, memória, hálózati kapcsolatok), és osszák meg a megerősített jelzéseket a CERT-UA-val vagy a helyi CSIRT-csoporttal a szereplők működésének feltérképezése és megzavarása érdekében.

Felkapott

Figyelemre váró üzenetek E-mail átverés

Adathalászat, Spam
Az e-mail továbbra is az egyik leggyakoribb támadási felület a kiberbűnözők számára, és a fiókértesítéseknek álcázott csalások különösen veszélyesek. Az egyik ilyen csalárd kampány az „Üzenetek a figyelmedre várnak” típusú e-mailes csalás, amely a címzetteket arra csábítja, hogy adathalász oldalakat látogassanak el, amelyek célja bizalmas adatok ellopása. A rendszer működésének megértése...

Legnézettebb

Betöltés...