CABINETRAT Backdoor
Cercetătorii Infosec au publicat o alertă despre o campanie țintită observată în septembrie 2025, care instalează un backdoor în limbajul C, urmărit ca CABINETRAT. Potrivit Echipei de Răspuns la Urgențe Informatice din Ucraina (CERT‑UA), activitatea este atribuită unui cluster urmărit (UAC‑0245) după ce analiștii au descoperit programe de extensie Microsoft Excel (fișiere XLL) transformate în arme utilizate în lanțul de atac.
Cuprins
Fișiere ZIP și un document polițienesc fals
Conform rapoartelor, atacatorii au împachetat fișierele XLL rău intenționate în arhive ZIP și le-au distribuit prin aplicația de mesagerie Signal, dându-se drept documente legate de reținerile de la granița cu Ucraina. Când o victimă extrage și deschide fișierul XLL, începe secvența de descărcare.
Ce creează Dropper-ul
Mai multe fișiere sunt generate pe sistemele compromise, inclusiv:
- un fișier EXE plasat în folderul Startup Windows
- un fișier XLL numit BasicExcelMath.xll în %APPDATA%\Microsoft\Excel\XLSTART\
- un PNG numit Office.png care conține de fapt cod shell încorporat
Aceste fișiere sunt create pe gazdă ca parte a persistenței și a programării sarcinii utile.
Cum este activată sarcina utilă
XLL-ul implantat configurează intrările din Registry pentru a se asigura că fișierul EXE rulează la pornire, apoi lansează Excel (excel.exe) cu comutatorul /e (embed) în modul ascuns, astfel încât programul de completare să se încarce silențios. XLL-ul încărcat extrage codul shell ascuns în imaginea PNG însoțitoare; acel cod shell este implantatul CABINETRAT. Ghidul Microsoft menționează că programele de completare XLL nesigure sunt frecvent utilizate în mod abuziv de către actorii amenințători, iar versiunile moderne de Excel blochează în mod implicit fișierele XLL nesigure - dar ingineria socială și aprobarea utilizatorilor le pot permite în continuare să ruleze.
Anti-analize și măsuri de tip sandbox
Atât încărcătorul XLL, cât și codul shell în memorie efectuează verificări anti-VM și anti-analiză. Exemplele observate în mostre includ verificarea existenței a cel puțin două nuclee CPU, verificarea unui minim de ~3 GB de RAM și căutarea artefactelor de virtualizare sau analiză (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Aceste verificări sunt destinate să anuleze sau să modifice comportamentul în mediile de laborator/sandbox și să reducă probabilitatea de detectare.
Capacitățile rău intenționate ale CABINETRAT
CABINETRAT este un backdoor complet scris în C. Capacitățile sale documentate includ: enumerarea sistemului (informații despre sistemul de operare și hardware), listarea aplicațiilor instalate, realizarea de capturi de ecran, enumerarea directoarelor, eliminarea fișierelor sau folderelor specificate, executarea de comenzi arbitrare și încărcarea/descărcarea fișierelor. Comunicațiile de rețea au loc printr-un canal TCP către infrastructura de comandă și control (C2) la distanță, permițând operatorilor să interacționeze cu gazdele infectate.
Campanii similare împotriva Ucrainei
Această dezvăluire vine în urma altor campanii extrem de precise împotriva entităților ucrainene. Cercetătorii au raportat recent o operațiune separată de phishing fără fișiere care a dat drept Poliția Națională a Ucrainei și a livrat sarcini utile precum Amatera Stealer (furt de date) și PureMiner (criptomining), ilustrând faptul că mai mulți vectori și familii de programe malware sunt utilizați în paralel împotriva organizațiilor din regiune.
Monitorizare, Siolare, Remediere
Având în vedere natura activă și direcționată a acestei campanii și tacticile anti-analiză ale operatorilor, apărătorii ar trebui să presupună că orice arhivă suspectă livrată prin Signal, care conține programe de completare Office, este potențial rău intenționată. Prioritizați izolarea gazdelor suspecte, colectați artefacte volatile (liste de procese, memorie, conexiuni de rețea) și partajați indicatorii confirmați cu CERT-UA sau CSIRT-ul local pentru a ajuta la cartografierea și perturbarea operațiunilor actorului.
