CABINETRAT Backdoor

정보보안 연구원들은 2025년 9월에 발견된 표적 공격에 대한 경고를 발표했습니다. 이 공격은 CABINETRAT으로 추적되는 C 언어 백도어를 설치하는 것으로 알려져 있습니다. 우크라이나 컴퓨터 비상 대응팀(CERT‑UA)에 따르면, 분석가들은 공격 체인에 사용된 무기화된 Microsoft Excel 추가 기능(XLL 파일)을 발견한 후, 이 활동은 추적된 클러스터(UAC‑0245)에 기인한 것으로 추정했습니다.

ZIP 파일과 가짜 경찰 문서

보도에 따르면, 공격자들은 악성 XLL을 ZIP 압축 파일로 압축하여 Signal 메시징 앱을 통해 배포했으며, 우크라이나 국경에서의 구금 관련 문서로 위장했습니다. 피해자가 XLL을 추출하여 열면 드롭 시퀀스가 시작됩니다.

드로퍼가 만드는 것

다음을 포함하여 손상된 시스템에서 여러 파일이 생성되었습니다.

• Windows 시작 폴더에 배치된 EXE
• %APPDATA%\Microsoft\Excel\XLSTART\에 있는 BasicExcelMath.xll이라는 XLL
• 실제로 내장된 셸코드를 전달하는 Office.png라는 PNG

이러한 파일은 지속성 및 페이로드 스테이징의 일부로 호스트에서 생성됩니다.

페이로드가 활성화되는 방식

이식된 XLL은 레지스트리 항목을 구성하여 시작 시 EXE가 실행되도록 한 다음, /e(embed) 스위치를 숨김 모드로 설정하여 Excel(excel.exe)을 실행하여 추가 기능이 자동으로 로드되도록 합니다. 로드된 XLL은 PNG 이미지 내부에 숨겨진 셸코드를 추출하는데, 이 셸코드가 바로 CABINETRAT 이식입니다. Microsoft의 지침에 따르면 신뢰할 수 없는 XLL 추가 기능은 위협 행위자가 흔히 악용하며, 최신 Excel 버전은 기본적으로 신뢰할 수 없는 XLL을 차단하지만, 소셜 엔지니어링 및 사용자 승인을 통해 여전히 실행될 수 있습니다.

분석 방지 및 샌드박스 조치

XLL 로더와 메모리 내 셸코드는 모두 VM 방지 및 분석 방지 검사를 수행합니다. 샘플에서 관찰된 예로는 최소 두 개의 CPU 코어 존재 여부 확인, 최소 ~3GB RAM 확인, 가상화 또는 분석 아티팩트(VMware, VirtualBox, Xen, QEMU, Parallels, Hyper‑V) 탐색 등이 있습니다. 이러한 검사는 랩/샌드박스 환경에서 동작을 중단하거나 변경하고 탐지 가능성을 줄이기 위한 것입니다.

CABINETRAT의 악의적인 능력

CABINETRAT은 C로 작성된 완전한 백도어입니다. 문서화된 기능은 다음과 같습니다. 시스템 열거(OS 및 하드웨어 정보), 설치된 애플리케이션 목록, 스크린샷 촬영, 디렉터리 열거, 지정된 파일 또는 폴더 삭제, 임의 명령 실행, 파일 업로드/다운로드. 네트워크 통신은 TCP 채널을 통해 원격 명령 및 제어(C2) 인프라와 이루어지므로, 운영자는 감염된 호스트와 상호 작용할 수 있습니다.

우크라이나에 대한 유사한 캠페인

이번 공개는 우크라이나 기관을 대상으로 한 다른 고도로 표적화된 공격에 이어 나온 것입니다. 연구원들은 최근 우크라이나 국가경찰을 사칭하여 아마테라 스틸러(데이터 유출)와 퓨어마이너(암호화폐 채굴)와 같은 페이로드를 유포한 파일리스 피싱 공격 사례를 보고했습니다. 이는 해당 지역의 여러 기관을 대상으로 여러 가지 공격 벡터와 악성코드가 동시에 사용되고 있음을 보여줍니다.

모니터링, 실리콘화, 개선

이 캠페인의 적극적이고 표적화된 특성과 운영자의 분석 방지 전술을 고려할 때, 방어자는 Office 추가 기능이 포함된 Signal 전송 아카이브가 의심스러울 경우 잠재적으로 악성일 가능성이 있다고 가정해야 합니다. 의심되는 호스트를 우선적으로 격리하고, 불안정한 아티팩트(프로세스 목록, 메모리, 네트워크 연결)를 수집하고, 확인된 지표를 CERT-UA 또는 지역 CSIRT와 공유하여 공격자의 활동을 파악하고 차단하는 데 도움을 주십시오.