CABINETRAT Achterdeur
Infosec-onderzoekers hebben een waarschuwing gepubliceerd over een gerichte campagne die in september 2025 werd waargenomen en die een backdoor in C-taal installeert die wordt gevolgd als CABINETRAT. Volgens het Computer Emergency Response Team van Oekraïne (CERT-UA) wordt de activiteit toegeschreven aan een gevolgd cluster (UAC-0245) nadat analisten gepantserde Microsoft Excel-invoegtoepassingen (XLL-bestanden) ontdekten die in de aanvalsketen werden gebruikt.
Inhoudsopgave
ZIP-bestanden en een vals politiedocument
Volgens de rapporten verpakten aanvallers de kwaadaardige XLL's in ZIP-archieven en verspreidden ze deze via de berichtenapp Signal, waarbij ze zich voordeden als een document met betrekking tot aanhoudingen aan de Oekraïense grens. Wanneer een slachtoffer de XLL uitpakt en opent, begint de dropprocedure.
Wat de druppelaar creëert
Op de gecompromitteerde systemen worden verschillende bestanden gegenereerd, waaronder:
- een EXE geplaatst in de opstartmap van Windows
- een XLL met de naam BasicExcelMath.xll in %APPDATA%\Microsoft\Excel\XLSTART\
- een PNG met de naam Office.png die daadwerkelijk ingebedde shellcode bevat
Deze bestanden worden op de host gemaakt als onderdeel van persistentie en payload-staging.
Hoe de lading wordt geactiveerd
De geïmplanteerde XLL configureert registervermeldingen om ervoor te zorgen dat de EXE bij het opstarten wordt uitgevoerd en start vervolgens Excel (excel.exe) met de schakeloptie /e (embed) in de verborgen modus, zodat de invoegtoepassing stil wordt geladen. De geladen XLL extraheert shellcode die verborgen zit in de bijbehorende PNG-afbeelding; die shellcode is de CABINETRAT-implantatie. In de richtlijnen van Microsoft wordt opgemerkt dat niet-vertrouwde XLL-invoegtoepassingen vaak worden misbruikt door kwaadwillenden, en moderne Excel-versies blokkeren niet-vertrouwde XLL's standaard, maar social engineering en toestemming van de gebruiker kunnen ze toch laten werken.
Anti-analyses en sandbox-maatregelen
Zowel de XLL-loader als de in-memory shellcode voeren anti-VM- en anti-analysecontroles uit. Voorbeelden die in de voorbeelden worden waargenomen, zijn onder andere het verifiëren van de aanwezigheid van ten minste twee CPU-cores, het controleren op minimaal ~3 GB RAM en het opsporen van virtualisatie- of analyseartefacten (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Deze controles zijn bedoeld om het gedrag in lab-/sandboxomgevingen te onderbreken of te wijzigen en de kans op detectie te verkleinen.
De kwaadaardige mogelijkheden van CABINETRAT
CABINETRAT is een volledige backdoor, geschreven in C. De gedocumenteerde mogelijkheden omvatten: systeemopsomming (OS- en hardware-informatie), het weergeven van geïnstalleerde applicaties, het maken van screenshots, het opsommen van mappen, het verwijderen van specifieke bestanden of mappen, het uitvoeren van willekeurige opdrachten en het uploaden/downloaden van bestanden. Netwerkcommunicatie vindt plaats via een TCP-kanaal naar de externe Command-and-Control (C2)-infrastructuur, waardoor operators kunnen communiceren met geïnfecteerde hosts.
Vergelijkbare campagnes tegen Oekraïne
Deze onthulling volgt kort op andere zeer gerichte campagnes tegen Oekraïense entiteiten. Onderzoekers meldden onlangs een aparte fileless phishingoperatie die zich voordeed als de nationale politie van Oekraïne en payloads zoals Amatera Stealer (datadiefstal) en PureMiner (cryptomining) leverde. Dit illustreert dat meerdere vectoren en malwarefamilies parallel worden ingezet tegen organisaties in de regio.
Monitoren, isoleren, saneren
Gezien de actieve, gerichte aard van deze campagne en de anti-analysetactieken van de operators, moeten verdedigers ervan uitgaan dat elk verdacht, door Signal geleverd archief met Office-invoegtoepassingen mogelijk schadelijk is. Geef prioriteit aan het inperken van verdachte hosts, verzamel vluchtige artefacten (proceslijsten, geheugen, netwerkverbindingen) en deel bevestigde indicatoren met CERT‑UA of uw lokale CSIRT om de activiteiten van de actor in kaart te brengen en te verstoren.
