CABINETRAT Backdoor
Исследователи Infosec опубликовали предупреждение о целевой кампании, замеченной в сентябре 2025 года, которая устанавливает бэкдор на языке C, известный как CABINETRAT. По данным Центра реагирования на компьютерные инциденты Украины (CERT‑UA), эта активность относится к отслеживаемому кластеру (UAC‑0245) после того, как аналитики обнаружили вредоносные надстройки Microsoft Excel (XLL-файлы), используемые в цепочке атак.
Оглавление
ZIP-файлы и поддельный полицейский документ
Согласно сообщениям, злоумышленники упаковывали вредоносные XLL-файлы в ZIP-архивы и распространяли их через мессенджер Signal, выдавая их за документы, связанные с задержаниями на границе с Украиной. Когда жертва извлекает и открывает XLL-файл, начинается процесс сбрасывания.
Что создает капельница
На скомпрометированных системах создается несколько файлов, в том числе:
- EXE-файл, помещенный в папку автозагрузки Windows
- XLL с именем BasicExcelMath.xll в %APPDATA%\Microsoft\Excel\XLSTART\
- PNG-файл с именем Office.png, который на самом деле содержит встроенный шелл-код
Эти файлы создаются на хосте в рамках сохранения и подготовки полезной нагрузки.
Как активируется полезная нагрузка
Внедрённый XLL настраивает записи реестра, чтобы обеспечить запуск EXE-файла при загрузке системы, а затем запускает Excel (excel.exe) с ключом /e (внедрение) в скрытом режиме, чтобы надстройка загружалась незаметно. Загруженный XLL извлекает шелл-код, скрытый внутри прилагаемого PNG-изображения; этот шелл-код и есть имплант CABINETRAT. В руководстве Microsoft отмечается, что ненадёжные надстройки XLL часто используются злоумышленниками, а современные версии Excel блокируют ненадёжные XLL по умолчанию, но социальная инженерия и одобрение пользователя всё ещё позволяют им запускаться.
Антианализы и меры песочницы
Как загрузчик XLL, так и шелл-код в памяти выполняют проверки на наличие виртуальных машин и анализ. В примерах, наблюдаемых в примерах, проверяются наличие как минимум двух ядер процессора, объём оперативной памяти не менее ~3 ГБ и поиск артефактов виртуализации или анализа (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Эти проверки предназначены для прерывания или изменения поведения в лабораторных/песочничных средах и снижения вероятности обнаружения.
Вредоносные возможности CABINETRAT
CABINETRAT — это полноценный бэкдор, написанный на языке C. Его задокументированные возможности включают: перечисление системных данных (информация об ОС и оборудовании), вывод списка установленных приложений, создание снимков экрана, перечисление каталогов, удаление указанных файлов или папок, выполнение произвольных команд и загрузку/выгрузку файлов. Сетевое взаимодействие осуществляется по TCP-каналу с удалённой инфраструктурой управления и контроля (C2), что позволяет операторам взаимодействовать с заражёнными хостами.
Похожие кампании против Украины
Это раскрытие информации последовало за другими целенаправленными кампаниями против украинских организаций. Исследователи недавно сообщили об отдельной фишинговой операции без файлов, которая была проведена от имени Национальной полиции Украины и распространяла такие вредоносные программы, как Amatera Stealer (кража данных) и PureMiner (майнинг криптовалют), что свидетельствует о параллельном использовании нескольких векторов атак и семейств вредоносных программ против организаций в регионе.
Монитор, отделение, устранение
Учитывая активный, целенаправленный характер этой кампании и тактику операторов, направленную против анализа, защитники должны исходить из того, что любой подозрительный архив Signal, содержащий надстройки Office, потенциально вредоносен. Уделяйте первоочередное внимание сдерживанию подозрительных хостов, собирайте энергозависимую информацию (списки процессов, память, сетевые подключения) и делитесь подтверждёнными индикаторами с CERT-UA или вашей локальной службой CSIRT, чтобы помочь отследить и пресечь действия злоумышленника.
