CABINETRAT Backdoor

Raziskovalci Infosec so objavili opozorilo o ciljno usmerjeni kampanji, opaženi septembra 2025, ki namešča zadnja vrata v jeziku C, ki so sledila kot CABINETRAT. Po podatkih Ukrajinske skupine za odzivanje na računalniške izredne razmere (CERT‑UA) je aktivnost pripisana sledeni gruči (UAC‑0245), potem ko so analitiki odkrili oborožene dodatke za Microsoft Excel (datoteke XLL), uporabljene v verigi napadov.

ZIP datoteke in ponarejen policijski dokument

Po poročilih so napadalci zlonamerne datoteke XLL zapakirali v arhive ZIP in jih distribuirali prek aplikacije za sporočanje Signal, pri čemer so se predstavljali kot dokumenti, povezani z zadržanji na ukrajinski meji. Ko žrtev izvleče in odpre datoteko XLL, se začne postopek spuščanja.

Kaj ustvari kapalka

Na ogroženih sistemih se ustvarja več datotek, vključno z:

• EXE, nameščen v zagonski mapi sistema Windows
• XLL z imenom BasicExcelMath.xll v %APPDATA%\Microsoft\Excel\XLSTART\
• PNG z imenom Office.png, ki dejansko vsebuje vdelano shellcode

Te datoteke so ustvarjene na gostitelju kot del vztrajnosti in priprave koristnega tovora.

Kako se aktivira koristni tovor

Vgrajeni XLL konfigurira vnose v register tako, da zagotovi, da se EXE zažene ob zagonu, nato pa zažene Excel (excel.exe) s stikalom /e (embed) v skritem načinu, tako da se dodatek naloži tiho. Naloženi XLL izvleče lupinsko kodo, skrito znotraj priložene slike PNG; ta lupinska koda je vsadek CABINETRAT. Microsoftova navodila ugotavljajo, da nezaupanja vredne dodatke XLL pogosto zlorabljajo akterji grožnje, sodobne različice Excela pa privzeto blokirajo nezaupanja vredne XLL-je – vendar jih socialni inženiring in odobritev uporabnikov še vedno lahko zaženeta.

Antianalize in ukrepi peskovnika

Tako nalagalnik XLL kot pomnilniška lupinska koda izvajata preverjanja proti virtualnim strojom in preverjanja proti analizi. Primeri, opaženi v vzorcih, vključujejo preverjanje prisotnosti vsaj dveh jeder procesorja, preverjanje najmanj ~3 GB RAM-a in iskanje artefaktov virtualizacije ali analize (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Namen teh preverjanj je prekiniti ali spremeniti vedenje v laboratorijskih/peskovnih okoljih in zmanjšati verjetnost odkritja.

Zlonamerne sposobnosti CABINETRAT-a

CABINETRAT je popolna zadnja vrata, napisana v jeziku C. Njegove dokumentirane zmogljivosti vključujejo: naštevanje sistema (informacije o operacijskem sistemu in strojni opremi), seznam nameščenih aplikacij, snemanje posnetkov zaslona, naštevanje imenikov, odstranjevanje določenih datotek ali map, izvajanje poljubnih ukazov in nalaganje/prenos datotek. Omrežna komunikacija poteka prek kanala TCP do oddaljene infrastrukture za upravljanje in nadzor (C2), kar operaterjem omogoča interakcijo z okuženimi gostitelji.

Podobne kampanje proti Ukrajini

To razkritje sledi drugim zelo ciljno usmerjenim kampanjam proti ukrajinskim subjektom. Raziskovalci so nedavno poročali o ločeni operaciji lažnega predstavljanja brez datotek, ki se je izdajala za Nacionalno policijo Ukrajine in dostavljala koristne programe, kot sta Amatera Stealer (kraja podatkov) in PureMiner (rudarjenje kriptovalut), kar kaže na to, da se proti organizacijam v regiji vzporedno uporablja več vektorjev in družin zlonamerne programske opreme.

Spremljanje, siolacija, sanacija

Glede na aktivno, ciljno usmerjeno naravo te kampanje in taktike operaterjev proti analizi bi morali zagovorniki domnevati, da je vsak sumljiv arhiv, ki ga dostavi Signal in vsebuje dodatke za Office, potencialno zlonameren. Dajte prednost zadrževanju domnevnih gostiteljev, zbirajte nestanovitne artefakte (sezname procesov, pomnilnik, omrežne povezave) in delite potrjene kazalnike s CERT-UA ali lokalnim CSIRT, da pomagate pri mapiranju in motenju delovanja akterja.