Zadné dvierka CABINETRAT
Výskumníci spoločnosti Infosec zverejnili upozornenie na cielenú kampaň pozorovanú v septembri 2025, ktorá inštaluje zadné vrátka v jazyku C sledované ako CABINETRAT. Podľa Ukrajinskeho tímu pre reakciu na počítačové núdzové situácie (CERT‑UA) sa aktivita pripisuje sledovanému klastru (UAC‑0245) po tom, čo analytici objavili doplnky Microsoft Excel (súbory XLL) použité v útočnom reťazci ako zbraň.
Obsah
ZIP súbory a falošný policajný dokument
Podľa správ útočníci zabalili škodlivé súbory XLL do ZIP archívov a distribuovali ich prostredníctvom aplikácie na odosielanie správ Signal, pričom sa vydávali za dokumenty súvisiace so zadržaniami na ukrajinských hraniciach. Keď obeť extrahuje a otvorí súbor XLL, spustí sa sekvencia ich odovzdávania.
Čo vytvára kvapkadlo
Na napadnutých systémoch sa generuje niekoľko súborov vrátane:
- EXE umiestnený do priečinka Po spustení systému Windows
- súbor XLL s názvom BasicExcelMath.xll v %APPDATA%\Microsoft\Excel\XLSTART\
- PNG s názvom Office.png, ktorý v skutočnosti obsahuje vložený shellcode
Tieto súbory sa vytvárajú na hostiteľovi ako súčasť perzistencie a spracovania údajov.
Ako sa aktivuje užitočné zaťaženie
Implantovaný súbor XLL konfiguruje položky databázy Registry tak, aby sa súbor EXE spustil pri štarte systému, a potom spustí program Excel (excel.exe) s prepínačom /e (embed) v skrytom režime, takže sa doplnok načíta potichu. Načítaný súbor XLL extrahuje shellcode skrytý v sprievodnom obrázku PNG; tento shellcode je implantát CABINETRAT. Pokyny spoločnosti Microsoft uvádzajú, že nedôveryhodné doplnky XLL sú bežne zneužívané útočníkmi a moderné verzie programu Excel štandardne blokujú nedôveryhodné súbory XLL – sociálne inžinierstvo a schvaľovanie používateľmi ich však stále môžu spustiť.
Antianalýzy a opatrenia v sandboxe
Zavádzač XLL aj shellcode v pamäti vykonávajú kontroly proti virtuálnym strojom a analýze. Medzi príklady pozorované vo vzorkách patrí overenie prítomnosti aspoň dvoch jadier CPU, kontrola minimálne ~3 GB pamäte RAM a hľadanie virtualizačných alebo analytických artefaktov (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Tieto kontroly sú určené na prerušenie alebo zmenu správania v laboratórnych/sandboxových prostrediach a zníženie pravdepodobnosti detekcie.
Škodlivé schopnosti CABINETRATu
CABINETRAT je kompletný backdoor napísaný v jazyku C. Medzi jeho zdokumentované schopnosti patrí: vymenovanie systému (informácie o OS a hardvéri), zoznam nainštalovaných aplikácií, vytváranie snímok obrazovky, vymenovanie adresárov, odstraňovanie zadaných súborov alebo priečinkov, vykonávanie ľubovoľných príkazov a nahrávanie/sťahovanie súborov. Sieťová komunikácia prebieha cez TCP kanál so vzdialenou infraštruktúrou Command-and-Control (C2), čo umožňuje operátorom interagovať s infikovanými hostiteľmi.
Podobné kampane proti Ukrajine
Toto odhalenie prichádza po ďalších cielených kampaniach proti ukrajinským subjektom. Výskumníci nedávno informovali o samostatnej phishingovej operácii bez súborov, ktorá sa vydávala za Národnú políciu Ukrajiny a doručovala užitočné dáta ako Amatera Stealer (krádež údajov) a PureMiner (ťažba kryptomien), čo ilustruje, že proti organizáciám v regióne sa paralelne používa viacero vektorov a rodín malvéru.
Monitorovanie, Siolácia, Sanácia
Vzhľadom na aktívnu a cielenú povahu tejto kampane a taktiky operátorov zamerané na analýzu by obrancovia mali predpokladať, že akýkoľvek podozrivý archív doručený službou Signal obsahujúci doplnky balíka Office je potenciálne škodlivý. Uprednostnite obmedzenie podozrivých hostiteľov, zhromažďujte nestále artefakty (zoznamy procesov, pamäť, sieťové pripojenia) a zdieľajte potvrdené indikátory s CERT-UA alebo miestnym CSIRT, aby ste pomohli zmapovať a narušiť operácie aktéra.
