CABINETRAT ब्याकडोर
इन्फोसेकका अनुसन्धानकर्ताहरूले सेप्टेम्बर २०२५ मा अवलोकन गरिएको लक्षित अभियानको बारेमा अलर्ट प्रकाशित गरेका छन् जसले CABINETRAT को रूपमा ट्र्याक गरिएको C-भाषा ब्याकडोर स्थापना गर्दछ। युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) का अनुसार, विश्लेषकहरूले आक्रमण श्रृंखलामा प्रयोग गरिएको हतियारयुक्त माइक्रोसफ्ट एक्सेल एड-इनहरू (XLL फाइलहरू) पत्ता लगाएपछि यो गतिविधि ट्र्याक गरिएको क्लस्टर (UAC-0245) लाई श्रेय दिइएको छ।
सामग्रीको तालिका
जिप फाइलहरू र नक्कली प्रहरी कागजात
रिपोर्टहरूका अनुसार, आक्रमणकारीहरूले दुर्भावनापूर्ण XLL हरूलाई ZIP अभिलेख भित्र प्याकेज गरे र तिनीहरूलाई सिग्नल मेसेजिङ एपमा वितरण गरे, युक्रेनी सीमामा हिरासतसँग सम्बन्धित कागजातको रूपमा प्रस्तुत गर्दै। जब पीडितले XLL निकाल्छ र खोल्छ, ड्रप अनुक्रम सुरु हुन्छ।
ड्रपरले के सिर्जना गर्छ
सम्झौता गरिएका प्रणालीहरूमा धेरै फाइलहरू उत्पन्न भइरहेका छन्, जसमा समावेश छन्:
- विन्डोज स्टार्टअप फोल्डरमा राखिएको EXE
- %APPDATA%\Microsoft\Excel\XLSTART\ मा BasicExcelMath.xll नामक XLL
- Office.png नामको PNG जसले वास्तवमा इम्बेडेड शेलकोड बोक्छ
यी फाइलहरू होस्टमा दृढता र पेलोड-स्टेजिङको भागको रूपमा सिर्जना गरिएका छन्।
पेलोड कसरी सक्रिय हुन्छ
इम्प्लान्ट गरिएको XLL ले EXE स्टार्टअपमा चल्छ भनी सुनिश्चित गर्न रजिस्ट्री प्रविष्टिहरू कन्फिगर गर्दछ, त्यसपछि लुकेको मोडमा /e (एम्बेड) स्विचको साथ एक्सेल (excel.exe) सुरु गर्दछ ताकि एड-इन चुपचाप लोड हुन्छ। लोड गरिएको XLL ले सँगैको PNG छवि भित्र लुकेको शेलकोड निकाल्छ; त्यो शेलकोड CABINETRAT इम्प्लान्ट हो। माइक्रोसफ्टको मार्गदर्शनले नोट गर्दछ कि अविश्वसनीय XLL एड-इनहरू सामान्यतया खतरा अभिनेताहरू द्वारा दुरुपयोग गरिन्छ, र आधुनिक एक्सेल संस्करणहरूले पूर्वनिर्धारित रूपमा अविश्वसनीय XLL हरूलाई रोक्छ - तर सामाजिक इन्जिनियरिङ र प्रयोगकर्ता अनुमोदनले अझै पनि तिनीहरूलाई चलाउन दिन सक्छ।
एन्टी-एनालिसिस र स्यान्डबक्स उपायहरू
XLL लोडर र इन-मेमोरी शेलकोड दुवैले एन्टी-VM र एन्टी-विश्लेषण जाँचहरू गर्छन्। नमूनाहरूमा अवलोकन गरिएका उदाहरणहरूमा कम्तिमा दुई CPU कोरहरू छन् भनी प्रमाणित गर्ने, न्यूनतम ~3 GB RAM को लागि जाँच गर्ने, र भर्चुअलाइजेशन वा विश्लेषण कलाकृतिहरू (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) खोज्ने समावेश छ। यी जाँचहरू प्रयोगशाला/स्यान्डबक्स वातावरणमा व्यवहार रद्द गर्ने वा परिवर्तन गर्ने र पत्ता लगाउने सम्भावना कम गर्ने उद्देश्यले गरिन्छ।
क्याबिनेटको दुर्भावनापूर्ण क्षमताहरू
CABINETRAT C मा लेखिएको पूर्ण ब्याकडोर हो। यसको दस्तावेजीकृत क्षमताहरूमा समावेश छन्: प्रणाली गणना (OS र हार्डवेयर जानकारी), स्थापित अनुप्रयोगहरू सूचीबद्ध गर्ने, स्क्रिनसटहरू लिने, निर्देशिकाहरू गणना गर्ने, निर्दिष्ट फाइलहरू वा फोल्डरहरू हटाउने, मनमानी आदेशहरू कार्यान्वयन गर्ने, र फाइलहरू अपलोड/डाउनलोड गर्ने। नेटवर्क सञ्चारहरू TCP च्यानल मार्फत रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा हुन्छन्, जसले अपरेटरहरूलाई संक्रमित होस्टहरूसँग अन्तर्क्रिया गर्न अनुमति दिन्छ।
युक्रेन विरुद्ध यस्तै अभियानहरू
यो खुलासा युक्रेनी संस्थाहरू विरुद्ध अन्य उच्च लक्षित अभियानहरूको सुरुवातमै आएको हो। अनुसन्धानकर्ताहरूले हालै युक्रेनको राष्ट्रिय प्रहरीको प्रतिरूपण गर्ने र अमाटेरा स्टीलर (डेटा चोरी) र प्योरमाइनर (क्रिप्टोमिनिङ) जस्ता पेलोडहरू डेलिभर गर्ने छुट्टै फाइललेस फिसिङ अपरेशनको रिपोर्ट गरेका छन्, जसले यस क्षेत्रका संस्थाहरू विरुद्ध समानान्तर रूपमा धेरै भेक्टरहरू र मालवेयर परिवारहरू प्रयोग भइरहेको देखाउँछ।
मनिटर, सियोलेट, रिमेडिएट
यस अभियानको सक्रिय, लक्षित प्रकृति र अपरेटरहरूको विश्लेषण विरोधी रणनीतिलाई ध्यानमा राख्दै, रक्षकहरूले अफिस एड-इनहरू भएको कुनै पनि शंकास्पद सिग्नल-डेलिभर गरिएको अभिलेख सम्भावित रूपमा दुर्भावनापूर्ण छ भनेर मान्नुपर्छ। शंकास्पद होस्टहरूको नियन्त्रणलाई प्राथमिकता दिनुहोस्, अस्थिर कलाकृतिहरू (प्रक्रिया सूचीहरू, मेमोरी, नेटवर्क जडानहरू) सङ्कलन गर्नुहोस्, र अभिनेताको सञ्चालनलाई नक्सा बनाउन र अवरोध गर्न मद्दत गर्न CERT-UA वा तपाईंको स्थानीय CSIRT सँग पुष्टि गरिएका सूचकहरू साझा गर्नुहोस्।
