CABINETRAT galinės durys
Informacijos saugumo tyrėjai paskelbė įspėjimą apie 2025 m. rugsėjį pastebėtą tikslinę kampaniją, kurios metu įdiegiama C kalbos galinė durų programa, sekama kaip CABINETRAT. Pasak Ukrainos kompiuterinių incidentų reagavimo komandos (CERT-UA), ši veikla priskiriama stebimam klasteriui (UAC-0245) po to, kai analitikai aptiko ginkluotus „Microsoft Excel“ priedus (XLL failus), naudotus atakų grandinėje.
Turinys
ZIP failai ir suklastotas policijos dokumentas
Pranešimuose teigiama, kad užpuolikai kenkėjiškus XLL failus supakavo į ZIP archyvus ir platino juos per pranešimų siuntimo programėlę „Signal“, apsimesdami dokumentu, susijusiu su sulaikymais Ukrainos pasienyje. Kai auka išgauna ir atidaro XLL failą, prasideda duomenų išmetimo seka.
Ką sukuria lašintuvas
Pažeistose sistemose generuojami keli failai, įskaitant:
- EXE failas, įkeltas į „Windows“ paleisties aplanką
- XLL failą pavadinimu BasicExcelMath.xll, esantį faile %APPDATA%\Microsoft\Excel\XLSTART\
- PNG, pavadintas „Office.png“, kuriame iš tikrųjų yra įterptas apvalkalo kodas
Šie failai sukuriami pagrindiniame kompiuteryje kaip duomenų saugojimo ir naudingosios apkrovos paruošimo dalis.
Kaip aktyvuojamas naudingasis krovinys
Įdiegta XLL programa konfigūruoja registro įrašus taip, kad EXE failas būtų paleistas paleidžiant kompiuterį, tada paleidžiama „Excel“ programa (excel.exe) su /e (įterpti) jungikliu paslėptu režimu, kad papildinys būtų įkeliamas tyliai. Įkelta XLL programa išgauna PNG paveikslėlyje paslėptą apvalkalo kodą; šis apvalkalo kodas yra implantas CABINETRAT. „Microsoft“ rekomendacijose pažymima, kad nepatikimais XLL priedais dažnai piktnaudžiauja grėsmių kūrėjai, o šiuolaikinės „Excel“ versijos pagal numatytuosius nustatymus blokuoja nepatikimus XLL failus, tačiau socialinė inžinerija ir naudotojų patvirtinimas vis tiek gali leisti jiems veikti.
Antianalizės ir „smėlio dėžės“ priemonės
Ir XLL įkroviklis, ir atmintyje esantis apvalkalinis kodas atlieka patikras prieš VM ir prieš analizę. Pavyzdžiuose pastebėti pavyzdžiai: patikrinimas, ar yra bent du procesoriaus branduoliai, patikrinimas, ar yra mažiausiai ~3 GB RAM, ir virtualizacijos arba analizės artefaktų paieška („VMware“, „VirtualBox“, „Xen“, „QEMU“, „Parallels“, „Hyper-V“). Šie patikrinimai skirti nutraukti arba pakeisti elgseną laboratorijos / smėlio dėžės aplinkoje ir sumažinti aptikimo tikimybę.
CABINETRAT kenkėjiškos galimybės
CABINETRAT yra pilnavertė „backdoor“ programa, parašyta C kalba. Jos dokumentuotos galimybės apima: sistemos išvardijimą (OS ir aparatinės įrangos informacija), įdiegtų programų sąrašo sudarymą, ekrano kopijų darymą, katalogų išvardijimą, nurodytų failų ar aplankų šalinimą, savavališkų komandų vykdymą ir failų įkėlimą / atsisiuntimą. Tinklo ryšys vyksta TCP kanalu su nuotoline komandų ir valdymo (C2) infrastruktūra, leidžiant operatoriams sąveikauti su užkrėstais kompiuteriais.
Panašios kampanijos prieš Ukrainą
Šis atskleidimas įvyko po kitų itin tikslinių kampanijų prieš Ukrainos subjektus. Tyrėjai neseniai pranešė apie atskirą neapibrėžto failų sukčiavimo operaciją, kurios metu buvo apsimestama Ukrainos nacionaline policija ir buvo pristatyti tokie naudingi failai kaip „Amatera Stealer“ (duomenų vagystė) ir „PureMiner“ (kriptovaliutų kasimas). Tai iliustruoja, kad prieš regiono organizacijas lygiagrečiai naudojami keli vektoriai ir kenkėjiškų programų šeimos.
Stebėti, Silicioti, Valyti
Atsižvelgiant į aktyvų, tikslinį šios kampanijos pobūdį ir operatorių antianalizės taktiką, gynėjai turėtų manyti, kad bet koks įtartinas „Signal“ pateiktas archyvas, kuriame yra „Office“ papildinių, yra potencialiai kenkėjiškas. Teikite pirmenybę įtariamų kompiuterių izoliavimui, rinkite nepastovius artefaktus (procesų sąrašus, atmintį, tinklo ryšius) ir bendrinkite patvirtintus rodiklius su CERT-UA arba vietos CSIRT, kad padėtumėte nustatyti ir sutrikdyti veikėjo veiklą.
