CABINETRAT Tylne drzwi
Badacze ds. bezpieczeństwa informacji opublikowali ostrzeżenie dotyczące ukierunkowanej kampanii zaobserwowanej we wrześniu 2025 roku, która instaluje backdoor w języku C śledzony jako CABINETRAT. Według ukraińskiego Zespołu Reagowania na Incydenty Komputerowe (CERT‑UA), aktywność ta jest przypisywana śledzonemu klastrowi (UAC‑0245) po tym, jak analitycy odkryli uzbrojone dodatki do programu Microsoft Excel (pliki XLL) używane w łańcuchu ataku.
Spis treści
Pliki ZIP i fałszywy dokument policyjny
Według doniesień, atakujący spakowali złośliwe pliki XLL w archiwach ZIP i rozsyłali je za pośrednictwem komunikatora Signal, podszywając się pod dokument dotyczący zatrzymań na granicy z Ukrainą. Gdy ofiara wypakuje i otworzy plik XLL, rozpoczyna się sekwencja zrzutu.
Co tworzy Kroplomierz
Na zainfekowanych systemach generowanych jest kilka plików, w tym:
- plik EXE umieszczony w folderze Uruchamianie systemu Windows
- plik XLL o nazwie BasicExcelMath.xll w %APPDATA%\Microsoft\Excel\XLSTART\
- plik PNG o nazwie Office.png, który w rzeczywistości zawiera osadzony kod powłoki
Pliki te są tworzone na hoście w ramach procesu trwałości i przygotowywania ładunku.
Jak aktywowany jest ładunek
Wdrożony plik XLL konfiguruje wpisy rejestru, aby zapewnić uruchomienie pliku EXE podczas uruchamiania, a następnie uruchamia program Excel (excel.exe) z przełącznikiem /e (embed) w trybie ukrytym, dzięki czemu dodatek ładuje się bezgłośnie. Wdrożony plik XLL wyodrębnia kod powłoki ukryty w dołączonym obrazie PNG; ten kod powłoki to implant CABINETRAT. Wytyczne Microsoftu wskazują, że niezaufane dodatki XLL są często wykorzystywane przez cyberprzestępców, a nowoczesne wersje programu Excel domyślnie blokują niezaufane pliki XLL — jednak socjotechnika i autoryzacja użytkownika nadal pozwalają na ich uruchomienie.
Antyanalizy i środki sandboxowe
Zarówno moduł ładujący XLL, jak i kod powłoki w pamięci przeprowadzają kontrole anty-VM i anty-analityczne. Przykłady zaobserwowane w próbkach obejmują weryfikację obecności co najmniej dwóch rdzeni procesora, sprawdzenie co najmniej ~3 GB pamięci RAM oraz wyszukiwanie artefaktów wirtualizacji lub analizy (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Kontrole te mają na celu przerwanie lub zmianę zachowania w środowiskach laboratoryjnych/piaskownicowych oraz zmniejszenie prawdopodobieństwa wykrycia.
Złośliwe możliwości CABINETRAT
CABINETRAT to kompletny backdoor napisany w języku C. Jego udokumentowane możliwości obejmują: enumerację systemu (informacje o systemie operacyjnym i sprzęcie), wyświetlanie zainstalowanych aplikacji, robienie zrzutów ekranu, enumerację katalogów, usuwanie określonych plików lub folderów, wykonywanie dowolnych poleceń oraz przesyłanie/pobieranie plików. Komunikacja sieciowa odbywa się poprzez kanał TCP do zdalnej infrastruktury dowodzenia i kontroli (C2), umożliwiając operatorom interakcję z zainfekowanymi hostami.
Podobne kampanie przeciwko Ukrainie
To ujawnienie następuje tuż po innych, bardzo ukierunkowanych kampaniach przeciwko podmiotom ukraińskim. Badacze niedawno zgłosili odrębną, bezplikową operację phishingową, w której podszywali się pod Narodową Policję Ukrainy i dostarczali szkodliwe programy, takie jak Amatera Stealer (kradzież danych) i PureMiner (kryptokopanie). Świadczy to o równoległym wykorzystywaniu wielu wektorów i rodzin złośliwego oprogramowania przeciwko organizacjom w regionie.
Monitoruj, izoluj, naprawiaj
Biorąc pod uwagę aktywny, ukierunkowany charakter tej kampanii oraz taktykę anty-analityczną operatorów, obrońcy powinni założyć, że każde podejrzane archiwum dostarczone przez Signal zawierające dodatki do pakietu Office jest potencjalnie złośliwe. Należy nadać priorytet powstrzymywaniu podejrzanych hostów, zbierać niestabilne artefakty (listy procesów, pamięć, połączenia sieciowe) i udostępniać potwierdzone wskaźniki zespołowi CERT‑UA lub lokalnemu zespołowi CSIRT, aby pomóc w mapowaniu i zakłócaniu działań sprawcy.
