CABINETRAT aizmugurējās durvis
Informācijas drošības pētnieki ir publicējuši brīdinājumu par mērķtiecīgu kampaņu, kas novērota 2025. gada septembrī, kuras laikā tiek instalēta C valodas aizmugures durvis, kas tiek izsekotas kā CABINETRAT. Saskaņā ar Ukrainas Datoravāriju reaģēšanas komandas (CERT-UA) datiem, aktivitāte tiek attiecināta uz izsekotu klasteri (UAC-0245) pēc tam, kad analītiķi atklāja uzbrukuma ķēdē izmantotas bruņotas Microsoft Excel pievienojumprogrammas (XLL failus).
Satura rādītājs
ZIP faili un viltots policijas dokuments
Saskaņā ar ziņojumiem uzbrucēji iepakoja ļaunprātīgos XLL failus ZIP arhīvos un izplatīja tos ziņojumapmaiņas lietotnē Signal, uzdodoties par dokumentu, kas saistīts ar aizturēšanām uz Ukrainas robežas. Kad upuris izgūst un atver XLL failu, sākas tā nomešanas secība.
Ko rada pilinātājs
Apdraudētajās sistēmās tiek ģenerēti vairāki faili, tostarp:
- EXE fails, kas ievietots Windows startēšanas mapē
- XLL fails ar nosaukumu BasicExcelMath.xll mapē %APPDATA%\Microsoft\Excel\XLSTART\
- PNG fails ar nosaukumu Office.png, kurā faktiski ir iegults apvalkkods
Šie faili tiek izveidoti resursdatorā kā daļa no noturības un lietderīgās slodzes sagatavošanas.
Kā tiek aktivizēta derīgā slodze
Implantētā XLL fails konfigurē reģistra ierakstus, lai nodrošinātu EXE faila palaišanu startēšanas laikā, pēc tam palaiž programmu Excel (excel.exe) ar slēdzi /e (embed) slēptā režīmā, lai pievienojumprogramma ielādētos klusumā. Ielādētā XLL fails izvelk apvalka kodu, kas paslēpts pievienotajā PNG attēlā; šis apvalka kods ir implants CABINETRAT. Microsoft vadlīnijās ir norādīts, ka neuzticamas XLL pievienojumprogrammas bieži ļaunprātīgi izmanto apdraudējumu veicēji, un mūsdienu Excel versijas pēc noklusējuma bloķē neuzticamas XLL, taču sociālā inženierija un lietotāju apstiprinājums joprojām var ļaut tām darboties.
Antianalīžu un smilškastes pasākumi
Gan XLL ielādētājs, gan atmiņā esošais apvalkkods veic pārbaudes pret VM un pret analīzēm. Paraugos novērotie piemēri ietver vismaz divu centrālā procesora kodolu pārbaudi, vismaz ~3 GB RAM pārbaudi un virtualizācijas vai analīzes artefaktu meklēšanu (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Šīs pārbaudes ir paredzētas, lai pārtrauktu vai mainītu darbību laboratorijas/smilškastes vidēs un samazinātu atklāšanas iespējamību.
CABINETRAT ļaunprātīgās spējas
CABINETRAT ir pilnvērtīga aizmugurējā durvju programma, kas rakstīta C valodā. Tās dokumentētās iespējas ietver: sistēmas uzskaitīšanu (operētājsistēmas un aparatūras informācija), instalēto lietojumprogrammu uzskaitīšanu, ekrānuzņēmumu uzņemšanu, direktoriju uzskaitīšanu, norādīto failu vai mapju dzēšanu, patvaļīgu komandu izpildi un failu augšupielādi/lejupielādēšanu. Tīkla saziņa notiek pa TCP kanālu ar attālo vadības un kontroles (C2) infrastruktūru, ļaujot operatoriem mijiedarboties ar inficētiem resursdatoriem.
Līdzīgas kampaņas pret Ukrainu
Šī atklāšana seko citām ļoti mērķētām kampaņām pret Ukrainas struktūrām. Pētnieki nesen ziņoja par atsevišķu bezfailu pikšķerēšanas operāciju, kurā tika uzdota par Ukrainas Nacionālo policiju un piegādāti tādi vērtumi kā Amatera Stealer (datu zādzība) un PureMiner (kriptovalūtu ieguve), kas ilustrē, ka pret organizācijām reģionā paralēli tiek izmantoti vairāki vektori un ļaunprogrammatūru saimes.
Uzraudzīt, silot, koriģēt
Ņemot vērā šīs kampaņas aktīvo, mērķtiecīgo raksturu un operatoru antianalīzes taktiku, aizstāvjiem vajadzētu pieņemt, ka jebkurš aizdomīgs, ar signālu piegādāts arhīvs, kas satur Office pievienojumprogrammas, ir potenciāli ļaunprātīgs. Prioritāti piešķiriet aizdomīgo resursdatoru ierobežošanai, apkopojiet gaistošus artefaktus (procesu sarakstus, atmiņu, tīkla savienojumus) un kopīgojiet apstiprinātos rādītājus ar CERT-UA vai vietējo CSIRT, lai palīdzētu kartēt un traucēt dalībnieku darbības.
