CABINETRAT Backdoor

ਇਨਫੋਸੇਕ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਤੰਬਰ 2025 ਵਿੱਚ ਦੇਖੇ ਗਏ ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਮੁਹਿੰਮ ਬਾਰੇ ਇੱਕ ਚੇਤਾਵਨੀ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੀ ਹੈ ਜੋ CABINETRAT ਦੇ ਰੂਪ ਵਿੱਚ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ C-ਭਾਸ਼ਾ ਬੈਕਡੋਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੀ ਹੈ। ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਦੇ ਅਨੁਸਾਰ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੁਆਰਾ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ ਵਰਤੇ ਗਏ ਹਥਿਆਰਬੰਦ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਲ ਐਡ-ਇਨ (XLL ਫਾਈਲਾਂ) ਦੀ ਖੋਜ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਗਤੀਵਿਧੀ ਇੱਕ ਟਰੈਕ ਕੀਤੇ ਕਲੱਸਟਰ (UAC-0245) ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਹੈ।

ਜ਼ਿਪ ਫਾਈਲਾਂ ਅਤੇ ਇੱਕ ਨਕਲੀ ਪੁਲਿਸ ਦਸਤਾਵੇਜ਼

ਰਿਪੋਰਟਾਂ ਦੇ ਅਨੁਸਾਰ, ਹਮਲਾਵਰਾਂ ਨੇ ਖਤਰਨਾਕ XLLs ਨੂੰ ZIP ਪੁਰਾਲੇਖਾਂ ਦੇ ਅੰਦਰ ਪੈਕ ਕੀਤਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸਿਗਨਲ ਮੈਸੇਜਿੰਗ ਐਪ 'ਤੇ ਵੰਡ ਦਿੱਤਾ, ਜੋ ਕਿ ਯੂਕਰੇਨੀ ਸਰਹੱਦ 'ਤੇ ਨਜ਼ਰਬੰਦੀਆਂ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਜਦੋਂ ਕੋਈ ਪੀੜਤ XLL ਕੱਢਦਾ ਹੈ ਅਤੇ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਡ੍ਰੌਪ ਕ੍ਰਮ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ।

ਡਰਾਪਰ ਕੀ ਬਣਾਉਂਦਾ ਹੈ

ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਕਈ ਫਾਈਲਾਂ ਤਿਆਰ ਕੀਤੀਆਂ ਜਾ ਰਹੀਆਂ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ EXE ਨੂੰ Windows ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ ਰੱਖਿਆ ਗਿਆ ਹੈ।
• %APPDATA%\Microsoft\Excel\XLSTART\ ਵਿੱਚ BasicExcelMath.xll ਨਾਮ ਦਾ ਇੱਕ XLL
• Office.png ਨਾਮ ਦਾ ਇੱਕ PNG ਜੋ ਅਸਲ ਵਿੱਚ ਏਮਬੈਡਡ ਸ਼ੈੱਲਕੋਡ ਰੱਖਦਾ ਹੈ

ਇਹ ਫਾਈਲਾਂ ਹੋਸਟ 'ਤੇ ਸਥਿਰਤਾ ਅਤੇ ਪੇਲੋਡ-ਸਟੇਜਿੰਗ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਬਣਾਈਆਂ ਗਈਆਂ ਹਨ।

ਪੇਲੋਡ ਕਿਵੇਂ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ

ਇਮਪਲਾਂਟ ਕੀਤਾ XLL ਰਜਿਸਟਰੀ ਐਂਟਰੀਆਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕਰਦਾ ਹੈ ਕਿ EXE ਸਟਾਰਟਅੱਪ 'ਤੇ ਚੱਲਦਾ ਹੈ, ਫਿਰ ਲੁਕਵੇਂ ਮੋਡ ਵਿੱਚ /e (embed) ਸਵਿੱਚ ਨਾਲ Excel (excel.exe) ਲਾਂਚ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਐਡ-ਇਨ ਚੁੱਪਚਾਪ ਲੋਡ ਹੋ ਜਾਵੇ। ਲੋਡ ਕੀਤਾ XLL ਨਾਲ PNG ਚਿੱਤਰ ਦੇ ਅੰਦਰ ਛੁਪੇ ਹੋਏ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਕੱਢਦਾ ਹੈ; ਉਹ ਸ਼ੈੱਲਕੋਡ CABINETRAT ਇਮਪਲਾਂਟ ਹੈ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਦਾ ਮਾਰਗਦਰਸ਼ਨ ਨੋਟ ਕਰਦਾ ਹੈ ਕਿ ਗੈਰ-ਭਰੋਸੇਯੋਗ XLL ਐਡ-ਇਨ ਆਮ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਦੁਰਵਰਤੋਂ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਅਤੇ ਆਧੁਨਿਕ ਐਕਸਲ ਸੰਸਕਰਣ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਗੈਰ-ਭਰੋਸੇਯੋਗ XLL ਨੂੰ ਬਲੌਕ ਕਰਦੇ ਹਨ - ਪਰ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਉਪਭੋਗਤਾ ਪ੍ਰਵਾਨਗੀ ਅਜੇ ਵੀ ਉਹਨਾਂ ਨੂੰ ਚੱਲਣ ਦੇ ਸਕਦੀ ਹੈ।

ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਸੈਂਡਬੌਕਸ ਉਪਾਅ

XLL ਲੋਡਰ ਅਤੇ ਇਨ-ਮੈਮੋਰੀ ਸ਼ੈੱਲਕੋਡ ਦੋਵੇਂ ਐਂਟੀ-VM ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਜਾਂਚਾਂ ਕਰਦੇ ਹਨ। ਨਮੂਨਿਆਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ ਦੋ CPU ਕੋਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ, ਘੱਟੋ-ਘੱਟ ~3 GB RAM ਦੀ ਜਾਂਚ ਕਰਨਾ, ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਜਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਕਲਾਕ੍ਰਿਤੀਆਂ (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) ਦੀ ਭਾਲ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਜਾਂਚਾਂ ਦਾ ਉਦੇਸ਼ ਲੈਬ/ਸੈਂਡਬਾਕਸ ਵਾਤਾਵਰਣ ਵਿੱਚ ਵਿਵਹਾਰ ਨੂੰ ਰੋਕਣਾ ਜਾਂ ਬਦਲਣਾ ਅਤੇ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਣਾ ਹੈ।

ਕੈਬਿਨੇਟਰੇਟ ਦੀਆਂ ਖਤਰਨਾਕ ਯੋਗਤਾਵਾਂ

CABINETRAT ਇੱਕ ਪੂਰਾ ਬੈਕਡੋਰ ਹੈ ਜੋ C ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ। ਇਸਦੀਆਂ ਦਸਤਾਵੇਜ਼ੀ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ: ਸਿਸਟਮ ਗਣਨਾ (OS ਅਤੇ ਹਾਰਡਵੇਅਰ ਜਾਣਕਾਰੀ), ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਸੂਚੀ ਬਣਾਉਣਾ, ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣਾ, ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਗਿਣਤੀ ਕਰਨਾ, ਨਿਰਧਾਰਤ ਫਾਈਲਾਂ ਜਾਂ ਫੋਲਡਰਾਂ ਨੂੰ ਹਟਾਉਣਾ, ਮਨਮਾਨੇ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ/ਡਾਊਨਲੋਡ ਕਰਨਾ। ਨੈੱਟਵਰਕ ਸੰਚਾਰ ਇੱਕ TCP ਚੈਨਲ ਰਾਹੀਂ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੱਕ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਯੂਕਰੇਨ ਵਿਰੁੱਧ ਇਸੇ ਤਰ੍ਹਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ

ਇਹ ਖੁਲਾਸਾ ਯੂਕਰੇਨੀ ਸੰਸਥਾਵਾਂ ਵਿਰੁੱਧ ਹੋਰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾਬੱਧ ਮੁਹਿੰਮਾਂ ਦੇ ਸਿਖਰ 'ਤੇ ਆਇਆ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਵੱਖਰੇ ਫਾਈਲ ਰਹਿਤ ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ ਜੋ ਯੂਕਰੇਨ ਦੀ ਰਾਸ਼ਟਰੀ ਪੁਲਿਸ ਦੀ ਨਕਲ ਕਰਦਾ ਸੀ ਅਤੇ ਅਮੇਟੇਰਾ ਸਟੀਲਰ (ਡੇਟਾ ਚੋਰੀ) ਅਤੇ ਪਿਓਰ ਮਾਈਨਰ (ਕ੍ਰਿਪਟੋਮਾਈਨਿੰਗ) ਵਰਗੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦਾ ਸੀ, ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਖੇਤਰ ਵਿੱਚ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਸਮਾਨਾਂਤਰ ਕਈ ਵੈਕਟਰ ਅਤੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।

ਮਾਨੀਟਰ, ਸਿਓਲੇਟ, ਰਿਮੀਡੀਏਟ

ਇਸ ਮੁਹਿੰਮ ਦੀ ਸਰਗਰਮ, ਨਿਸ਼ਾਨਾਬੱਧ ਪ੍ਰਕਿਰਤੀ ਅਤੇ ਆਪਰੇਟਰਾਂ ਦੀਆਂ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਰੋਧੀ ਰਣਨੀਤੀਆਂ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਇਹ ਮੰਨਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਆਫਿਸ ਐਡ-ਇਨ ਵਾਲਾ ਕੋਈ ਵੀ ਸ਼ੱਕੀ ਸਿਗਨਲ-ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਪੁਰਾਲੇਖ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਹੈ। ਸ਼ੱਕੀ ਹੋਸਟਾਂ ਦੀ ਰੋਕਥਾਮ ਨੂੰ ਤਰਜੀਹ ਦਿਓ, ਅਸਥਿਰ ਕਲਾਕ੍ਰਿਤੀਆਂ (ਪ੍ਰਕਿਰਿਆ ਸੂਚੀਆਂ, ਮੈਮੋਰੀ, ਨੈੱਟਵਰਕ ਕਨੈਕਸ਼ਨ) ਇਕੱਠੀਆਂ ਕਰੋ, ਅਤੇ ਐਕਟਰ ਦੇ ਕਾਰਜਾਂ ਨੂੰ ਮੈਪ ਕਰਨ ਅਤੇ ਵਿਘਨ ਪਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ CERT-UA ਜਾਂ ਆਪਣੇ ਸਥਾਨਕ CSIRT ਨਾਲ ਪੁਸ਼ਟੀ ਕੀਤੇ ਸੂਚਕਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰੋ।