CABINETRAT Bakdør
Infosec-forskere har publisert et varsel om en målrettet kampanje observert i september 2025 som installerer en C-språklig bakdør sporet som CABINETRAT. Ifølge Computer Emergency Response Team of Ukraine (CERT-UA) tilskrives aktiviteten en sporet klynge (UAC-0245) etter at analytikerne oppdaget våpenbeskyttede Microsoft Excel-tillegg (XLL-filer) som ble brukt i angrepskjeden.
Innholdsfortegnelse
ZIP-filer og et falskt politidokument
Ifølge rapportene pakket angriperne de ondsinnede XLL-ene i ZIP-arkiver og distribuerte dem via Signal-meldingsappen, og utga seg for å være et dokument relatert til arrestasjoner ved den ukrainske grensen. Når et offer pakker ut og åpner XLL-en, starter slippsekvensen.
Hva Dropperen skaper
Flere filer genereres på de kompromitterte systemene, inkludert:
- en EXE plassert i Windows oppstartsmappen
- en XLL med navnet BasicExcelMath.xll i %APPDATA%\Microsoft\Excel\XLSTART\
- en PNG med navnet Office.png som faktisk inneholder innebygd skallkode
Disse filene opprettes på verten som en del av persistens og nyttelast-staging.
Hvordan nyttelasten aktiveres
Den implanterte XLL-filen konfigurerer registeroppføringer for å sikre at EXE kjører ved oppstart, og starter deretter Excel (excel.exe) med /e (embed)-bryteren i skjult modus, slik at tillegget lastes inn stille. Den lastede XLL-filen trekker ut skallkode som er skjult i det medfølgende PNG-bildet. Denne skallkoden er CABINETRAT-implantatet. Microsofts veiledning bemerker at uklarerte XLL-tillegg ofte misbrukes av trusselaktører, og moderne Excel-versjoner blokkerer uklarerte XLL-er som standard – men sosial manipulering og brukergodkjenning kan fortsatt la dem kjøre.
Antianalyser og sandkassetiltak
Både XLL-lasteren og skallkoden i minnet utfører anti-VM- og anti-analysekontroller. Eksempler observert i prøvene inkluderer verifisering av at det er minst to CPU-kjerner, kontroll av minimum ~3 GB RAM og jakt på virtualiserings- eller analyseartefakter (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Disse kontrollene er ment å avbryte eller endre atferd i lab-/sandkassemiljøer og redusere sannsynligheten for deteksjon.
CABINETRATS ondsinnede evner
CABINETRAT er en komplett bakdør skrevet i C. De dokumenterte funksjonene inkluderer: systemopplisting (OS- og maskinvareinformasjon), liste opp installerte applikasjoner, ta skjermbilder, opplisting av kataloger, fjerning av spesifiserte filer eller mapper, utføring av vilkårlige kommandoer og opplasting/nedlasting av filer. Nettverkskommunikasjon skjer over en TCP-kanal til ekstern kommando-og-kontroll (C2)-infrastruktur, slik at operatører kan samhandle med infiserte verter.
Lignende kampanjer mot Ukraina
Denne avsløringen kommer i kjølvannet av andre svært målrettede kampanjer mot ukrainske enheter. Forskere rapporterte nylig en separat filløs phishing-operasjon som utga seg for å være det ukrainske nasjonalpolitiet og leverte nyttelaster som Amatera Stealer (datatyveri) og PureMiner (kryptomining), noe som illustrerer at flere vektorer og skadevarefamilier brukes parallelt mot organisasjoner i regionen.
Overvåk, sioler, utbedre
Gitt den aktive og målrettede naturen til denne kampanjen og operatørenes antianalysetaktikker, bør forsvarere anta at ethvert mistenkelig Signal-levert arkiv som inneholder Office-tillegg potensielt er skadelig. Prioriter inneslutning av mistenkte verter, samle inn flyktige artefakter (prosesslister, minne, nettverkstilkoblinger) og del bekreftede indikatorer med CERT-UA eller din lokale CSIRT for å kartlegge og forstyrre aktørens drift.
