CABINETTRAT Backdoor
អ្នកស្រាវជ្រាវ Infosec បានបោះពុម្ពផ្សាយការដាស់តឿនអំពីយុទ្ធនាការគោលដៅដែលបានសង្កេតនៅក្នុងខែកញ្ញា ឆ្នាំ 2025 ដែលដំឡើងភាសា C ខាងក្រោយដែលតាមដានជា CABINETRAT ។ យោងតាមក្រុមឆ្លើយតបគ្រោះអាសន្នកុំព្យូទ័រនៃប្រទេសអ៊ុយក្រែន (CERT‑UA) សកម្មភាពនេះត្រូវបានសន្មតថាជាចង្កោមដែលបានតាមដាន (UAC‑0245) បន្ទាប់ពីអ្នកវិភាគបានរកឃើញឧបករណ៍បន្ថែមកម្មវិធី Microsoft Excel (ឯកសារ XLL) ដែលប្រើនៅក្នុងខ្សែសង្វាក់វាយប្រហារ។
តារាងមាតិកា
ឯកសារ ZIP និងឯកសារប៉ូលីសក្លែងក្លាយ
យោងតាមរបាយការណ៍ អ្នកវាយប្រហារបានខ្ចប់ XLLs ព្យាបាទនៅខាងក្នុង ZIP archives ហើយចែកចាយវានៅលើកម្មវិធី Signal messaging app ដោយដាក់ជាឯកសារទាក់ទងនឹងការឃុំខ្លួននៅព្រំដែនអ៊ុយក្រែន។ នៅពេលដែលជនរងគ្រោះទាញយក និងបើក XLL លំដាប់ទម្លាក់ចាប់ផ្តើម។
អ្វីដែល Dropper បង្កើត
ឯកសារជាច្រើនកំពុងត្រូវបានបង្កើតនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល រួមទាំង៖
- EXE ដាក់ចូលទៅក្នុងថត Windows Startup
- XLL ដែលមានឈ្មោះថា BasicExcelMath.xll ក្នុង %APPDATA%\Microsoft\Excel\XLSTART\
- PNG ដែលមានឈ្មោះថា Office.png ដែលពិតជាផ្ទុកកូដសែលដែលបានបង្កប់
ឯកសារទាំងនេះត្រូវបានបង្កើតនៅលើម៉ាស៊ីនដែលជាផ្នែកមួយនៃការតស៊ូ និងដំណាក់កាលបន្ទុក។
របៀបដែល Payload ត្រូវបានធ្វើឱ្យសកម្ម
ការដាក់បញ្ចូល XLL កំណត់រចនាសម្ព័ន្ធធាតុចុះបញ្ជីដើម្បីធានាថា EXE ដំណើរការនៅពេលចាប់ផ្តើម បន្ទាប់មកបើកដំណើរការ Excel (excel.exe) ដោយប្រើកុងតាក់ /e (បង្កប់) នៅក្នុងរបៀបលាក់ ដូច្នេះកម្មវិធីបន្ថែមនឹងដំណើរការដោយស្ងៀមស្ងាត់។ XLL ដែលបានផ្ទុកទាញយកកូដសែលដែលលាក់នៅខាងក្នុងរូបភាព PNG ដែលភ្ជាប់មកជាមួយ។ លេខកូដសែលគឺជាការផ្សាំ CABINETRAT ។ ការណែនាំរបស់ Microsoft កត់សំគាល់ថាកម្មវិធីបន្ថែម XLL ដែលមិនគួរឱ្យទុកចិត្តត្រូវបានរំលោភបំពានជាទូទៅដោយអ្នកគំរាមកំហែង ហើយកំណែ Excel ទំនើបរារាំង XLLs ដែលមិនគួរឱ្យទុកចិត្តតាមលំនាំដើម - ប៉ុន្តែវិស្វកម្មសង្គម និងការយល់ព្រមពីអ្នកប្រើប្រាស់នៅតែអាចឱ្យពួកគេដំណើរការបាន។
វិធានការប្រឆាំងនឹងការវិភាគ និងប្រអប់ខ្សាច់
ទាំងកម្មវិធីផ្ទុក XLL និងកូដសែលក្នុងអង្គចងចាំធ្វើការត្រួតពិនិត្យប្រឆាំង VM និងប្រឆាំងការវិភាគ។ ឧទាហរណ៍ដែលបានសង្កេតនៅក្នុងគំរូរួមមានការផ្ទៀងផ្ទាត់ថាមានស្នូលស៊ីភីយូយ៉ាងតិចពីរ ពិនិត្យមើល RAM អប្បបរមា ~ 3 GB និងការស្វែងរកវត្ថុបុរាណនិម្មិត ឬការវិភាគ (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper‑V) ។ ការត្រួតពិនិត្យទាំងនេះមានបំណងលុបចោល ឬផ្លាស់ប្តូរឥរិយាបថនៅក្នុងបរិយាកាសមន្ទីរពិសោធន៍/ប្រអប់ខ្សាច់ និងកាត់បន្ថយលទ្ធភាពនៃការរកឃើញ។
សមត្ថភាពព្យាបាទរបស់ CABINETRAT
CABINETTRAT គឺជា backdoor ពេញលេញដែលបានសរសេរនៅក្នុង C. សមត្ថភាពដែលបានចងក្រងជាឯកសាររបស់វារួមមានៈ ការរាប់បញ្ចូលប្រព័ន្ធ (OS និង hardware info) ការរាយបញ្ជីកម្មវិធីដែលបានដំឡើង ការថតអេក្រង់ ការរាប់លេខថត ការដកឯកសារ ឬថតឯកសារដែលបានបញ្ជាក់ ប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងការបង្ហោះ/ទាញយកឯកសារ។ ការទំនាក់ទំនងតាមបណ្តាញកើតឡើងនៅលើបណ្តាញ TCP ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) ពីចម្ងាយ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនដែលមានមេរោគ។
យុទ្ធនាការស្រដៀងគ្នាប្រឆាំងនឹងអ៊ុយក្រែន
ការលាតត្រដាងនេះកើតឡើងនៅលើយុទ្ធនាការដែលមានគោលដៅខ្ពស់ផ្សេងទៀតប្រឆាំងនឹងអង្គភាពអ៊ុយក្រែន។ ថ្មីៗនេះអ្នកស្រាវជ្រាវបានរាយការណ៍ពីប្រតិបត្តិការបន្លំឯកសារដាច់ដោយឡែកដែលក្លែងបន្លំជាប៉ូលីសជាតិនៃប្រទេសអ៊ុយក្រែន ហើយបានបញ្ជូនបន្ទុកដូចជា Amatera Stealer (ការលួចទិន្នន័យ) និង PureMiner (cryptomining) ដែលបង្ហាញថាវ៉ិចទ័រជាច្រើន និងគ្រួសារមេរោគកំពុងត្រូវបានប្រើប្រាស់ស្របគ្នាជាមួយនឹងអង្គការក្នុងតំបន់។
ត្រួតពិនិត្យ, Siolate, Remediate
ដោយគិតពីលក្ខណៈសកម្ម និងជាគោលដៅនៃយុទ្ធនាការនេះ និងយុទ្ធសាស្ត្រប្រឆាំងការវិភាគរបស់ប្រតិបត្តិករ អ្នកការពារគួរតែសន្មត់ថាបណ្ណសារដែលបញ្ជូនដោយសញ្ញាគួរឱ្យសង្ស័យណាមួយដែលមាន Office add-ins អាចមានហានិភ័យ។ ផ្តល់អាទិភាពដល់ការទប់ស្កាត់ម៉ាស៊ីនដែលសង្ស័យ ប្រមូលវត្ថុបុរាណដែលងាយនឹងបង្កជាហេតុ (បញ្ជីដំណើរការ អង្គចងចាំ ការតភ្ជាប់បណ្តាញ) និងចែករំលែកសូចនាករដែលបានបញ្ជាក់ជាមួយ CERT‑UA ឬ CSIRT ក្នុងតំបន់របស់អ្នក ដើម្បីជួយធ្វើផែនទី និងរំខានដល់ប្រតិបត្តិការរបស់តួសម្តែង។
