CABINETRAT Backdoor

Studiuesit e Infosec kanë publikuar një alarm në lidhje me një fushatë të synuar të vëzhguar në shtator 2025 që instalon një derë të pasme në gjuhën C të gjurmuar si CABINETRAT. Sipas Ekipit të Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT‑UA), aktiviteti i atribuohet një klasteri të gjurmuar (UAC‑0245) pasi analistët zbuluan shtesa të armatosura të Microsoft Excel (skedarë XLL) të përdorura në zinxhirin e sulmit.

Skedarët ZIP dhe një dokument i rremë policor

Sipas raporteve, sulmuesit i paketuan skedarët XLL keqdashës brenda arkivave ZIP dhe i shpërndanë ato nëpërmjet aplikacionit të mesazheve Signal, duke u paraqitur si një dokument që lidhet me ndalimet në kufirin ukrainas. Kur një viktimë nxjerr dhe hap XLL-në, fillon sekuenca e lëshimit.

Çfarë krijon Dropper

Disa skedarë po gjenerohen në sistemet e kompromentuara, duke përfshirë:

• një skedar EXE i vendosur në dosjen e fillimit të Windows
• një XLL me emrin BasicExcelMath.xll në %APPDATA%\Microsoft\Excel\XLSTART\
• një PNG me emrin Office.png që në të vërtetë mbart shellcode të integruar

Këto skedarë krijohen në host si pjesë e persistencës dhe fazës së ngarkesës.

Si aktivizohet ngarkesa

XLL-ja e implantuar konfiguron hyrjet e Regjistrit për të siguruar që EXE të funksionojë gjatë nisjes, pastaj nis Excel-in (excel.exe) me çelësin /e (embed) në modalitetin e fshehur në mënyrë që shtesa të ngarkohet në heshtje. XLL-ja e ngarkuar nxjerr kodin shell të fshehur brenda imazhit PNG shoqërues; ai kod shell është implanti CABINETRAT. Udhëzimet e Microsoft-it vënë në dukje se shtesat e pabesueshme XLL zakonisht abuzohen nga aktorët kërcënues, dhe versionet moderne të Excel-it bllokojnë XLL-të e pabesueshme si parazgjedhje - por inxhinieria sociale dhe miratimi i përdoruesit mund t'i lejojnë ato të funksionojnë.

Anti-analiza dhe Masa Sandbox

Si ngarkuesi XLL ashtu edhe kodi i integruar në memorie kryejnë kontrolle anti-VM dhe anti-analizë. Shembujt e vërejtur në mostra përfshijnë verifikimin se ka të paktën dy bërthama CPU, kontrollin për një minimum prej ~3 GB RAM dhe kërkimin për artefakte të virtualizimit ose analizës (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Këto kontrolle kanë për qëllim ndërprerjen ose ndryshimin e sjelljes në mjediset laboratorike/sandbox dhe zvogëlimin e gjasave të zbulimit.

Aftësitë keqdashëse të CABINETRAT

CABINETRAT është një program i plotë backdoor i shkruar në C. Aftësitë e tij të dokumentuara përfshijnë: numërimin e sistemit (informacion mbi sistemin operativ dhe harduerin), renditjen e aplikacioneve të instaluara, marrjen e pamjeve të ekranit, numërimin e drejtorive, heqjen e skedarëve ose dosjeve të specifikuara, ekzekutimin e komandave arbitrare dhe ngarkimin/shkarkimin e skedarëve. Komunikimet në rrjet ndodhin përmes një kanali TCP me infrastrukturën e largët të Komandës dhe Kontrollit (C2), duke u lejuar operatorëve të bashkëveprojnë me hostet e infektuara.

Fushata të ngjashme kundër Ukrainës

Ky zbulim vjen menjëherë pas fushatave të tjera shumë të synuara kundër entiteteve ukrainase. Studiuesit raportuan së fundmi një operacion të veçantë phishing pa skedarë që u imitua si Policia Kombëtare e Ukrainës dhe ofroi ngarkesa të tilla si Amatera Stealer (vjedhje të dhënash) dhe PureMiner (kriptominim), duke ilustruar se shumë vektorë dhe familje malware po përdoren paralelisht kundër organizatave në rajon.

Monitoro, Izolo, Riparo

Duke pasur parasysh natyrën aktive dhe të synuar të kësaj fushate dhe taktikat anti-analizë të operatorëve, mbrojtësit duhet të supozojnë se çdo arkiv i dyshimtë i dërguar nga Signal që përmban shtesa të Office është potencialisht dashakeq. Jepini përparësi përmbajtjes së hosteve të dyshuara, mblidhni artefakte të paqëndrueshme (lista procesesh, memorie, lidhje rrjeti) dhe ndani tregues të konfirmuar me CERT‑UA ose CSIRT-in tuaj lokal për të ndihmuar në hartëzimin dhe ndërprerjen e operacioneve të aktorit.