CABINETRAT Pintu Belakang
Penyelidik Infosec telah menerbitkan amaran tentang kempen sasaran yang diperhatikan pada September 2025 yang memasang pintu belakang bahasa C yang dijejaki sebagai CABINETRAT. Menurut Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT‑UA), aktiviti itu dikaitkan dengan kluster yang dijejaki (UAC‑0245) selepas penganalisis menemui alat tambah Microsoft Excel bersenjata (fail XLL) yang digunakan dalam rantaian serangan.
Isi kandungan
Fail ZIP Dan Dokumen Polis Palsu
Menurut laporan itu, penyerang membungkus XLL berniat jahat di dalam arkib ZIP dan mengedarkannya melalui aplikasi pemesejan Isyarat, menyamar sebagai dokumen yang berkaitan dengan penahanan di sempadan Ukraine. Apabila mangsa mengekstrak dan membuka XLL, urutan jatuh bermula.
Apa yang Dicipta oleh Penitis
Beberapa fail sedang dijana pada sistem yang terjejas, termasuk:
- EXE diletakkan ke dalam folder Windows Startup
- XLL bernama BasicExcelMath.xll dalam %APPDATA%\Microsoft\Excel\XLSTART\
- PNG bernama Office.png yang sebenarnya membawa shellcode terbenam
Fail ini dibuat pada hos sebagai sebahagian daripada kegigihan dan pementasan muatan.
Bagaimana Muatan Diaktifkan
XLL yang diimplan mengkonfigurasi entri Pendaftaran untuk memastikan EXE berjalan semasa dimulakan, kemudian melancarkan Excel (excel.exe) dengan suis /e (embed) dalam mod tersembunyi supaya add-in dimuatkan secara senyap. XLL yang dimuatkan mengekstrak shellcode yang tersembunyi di dalam imej PNG yang disertakan; shellcode itu ialah implan CABINETRAT. Panduan Microsoft menyatakan bahawa tambahan XLL yang tidak dipercayai lazimnya disalahgunakan oleh pelakon ancaman, dan versi Excel moden menyekat XLL yang tidak dipercayai secara lalai — tetapi kejuruteraan sosial dan kelulusan pengguna masih boleh membenarkannya berjalan.
Anti-analisis Dan Langkah Kotak Pasir
Kedua-dua pemuat XLL dan kod cangkerang dalam memori melakukan pemeriksaan anti-VM dan anti-analisis. Contoh yang diperhatikan dalam sampel termasuk mengesahkan terdapat sekurang-kurangnya dua teras CPU, menyemak sekurang-kurangnya ~3 GB RAM dan memburu artifak virtualisasi atau analisis (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper‑V). Pemeriksaan ini bertujuan untuk membatalkan atau mengubah tingkah laku dalam persekitaran makmal/kotak pasir dan mengurangkan kemungkinan pengesanan.
Keupayaan Hasad CABINETRAT
CABINETRAT ialah pintu belakang penuh yang ditulis dalam C. Keupayaan yang didokumenkan termasuk: penghitungan sistem (maklumat OS dan perkakasan), menyenaraikan aplikasi yang dipasang, mengambil tangkapan skrin, menghitung direktori, mengalih keluar fail atau folder tertentu, melaksanakan arahan sewenang-wenangnya dan memuat naik/memuat turun fail. Komunikasi rangkaian berlaku melalui saluran TCP ke infrastruktur Command-and-Control (C2) jauh, membenarkan pengendali berinteraksi dengan hos yang dijangkiti.
Kempen Serupa Menentang Ukraine
Pendedahan ini dibuat selepas kempen lain yang sangat disasarkan terhadap entiti Ukraine. Penyelidik baru-baru ini melaporkan operasi pancingan data tanpa fail berasingan yang menyamar sebagai Polis Negara Ukraine dan menghantar muatan seperti Amatera Stealer (kecurian data) dan PureMiner (cryptomining), yang menggambarkan bahawa berbilang vektor dan keluarga perisian hasad digunakan secara selari terhadap organisasi di rantau ini.
Pantau, Siolate, Remediate
Memandangkan sifat aktif dan sasaran kempen ini dan taktik anti-analisis pengendali, pembela harus menganggap mana-mana arkib yang dihantar Isyarat yang mencurigakan yang mengandungi tambahan Office berpotensi berniat jahat. Utamakan pembendungan hos yang disyaki, kumpulkan artifak yang tidak menentu (senarai proses, memori, sambungan rangkaian) dan kongsi penunjuk yang disahkan dengan CERT‑UA atau CSIRT tempatan anda untuk membantu memetakan dan mengganggu operasi pelakon.
