CABINETRAT Backdoor
Истраживачи Инфосека објавили су упозорење о циљаној кампањи примећеној у септембру 2025. године, која инсталира задња врата на језику C праћена као CABINETRAT. Према подацима Украјинског тима за реаговање у компјутерским ванредним ситуацијама (CERT‑UA), активност се приписује праћеном кластеру (UAC‑0245) након што су аналитичари открили додатке за Microsoft Excel (XLL датотеке) који су коришћени у ланцу напада као оружје.
Преглед садржаја
ЗИП датотеке и лажни полицијски документ
Према извештајима, нападачи су спаковали злонамерне XLL датотеке унутар ZIP архива и дистрибуирали их преко апликације за размену порука Signal, представљајући се као документ везан за задржавања на украјинској граници. Када жртва издвоји и отвори XLL датотеку, почиње секвенца испуштања.
Шта капаљка ствара
На угроженим системима се генерише неколико датотека, укључујући:
- EXE датотека смештена у фолдер за покретање система Windows
- XLL датотека под називом BasicExcelMath.xll у %APPDATA%\Microsoft\Excel\XLSTART\
- PNG датотека под називом Office.png која заправо садржи уграђени шелкод
Ове датотеке се креирају на хосту као део перзистенције и припреме корисног терета.
Како се активира корисни терет
Имплантирани XLL конфигурише уносе у регистар како би се осигурало да се EXE датотека покреће при покретању система, а затим покреће Excel (excel.exe) са прекидачем /e (embed) у скривеном режиму тако да се додатак учитава тихо. Учитани XLL издваја шелкод скривен унутар пратеће PNG слике; тај шелкод је CABINETRAT имплант. Мајкрософтово упутство напомиње да непоуздане XLL додатке често злоупотребљавају претње, а модерне верзије Excel-а подразумевано блокирају непоуздане XLL-ове — али социјални инжењеринг и одобрење корисника и даље могу дозволити њихово покретање.
Анти-анализе и мере песковите кутије
И XLL учитавач и шелкод у меморији врше анти-виртуелне и анти-аналитичке провере. Примери примећени у узорцима укључују проверу да ли постоје најмање два језгра процесора, проверу најмање ~3 GB RAM меморије и тражење артефаката виртуелизације или анализе (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Ове провере су намењене прекиду или промени понашања у лабораторијским/sandbox окружењима и смањењу вероватноће откривања.
Злонамерне способности КАБИНЕТРА
CABINETRAT је комплетан бекдор написан у C језику. Његове документоване могућности укључују: набрајање система (информације о ОС и хардверу), листање инсталираних апликација, прављење снимака екрана, набрајање директоријума, уклањање одређених датотека или фасцикли, извршавање произвољних команди и отпремање/преузимање датотека. Мрежна комуникација се одвија преко TCP канала до удаљене инфраструктуре команде и контроле (C2), омогућавајући оператерима да интерагују са зараженим хостовима.
Сличне кампање против Украјине
Ово откриће долази након других високо циљаних кампања против украјинских ентитета. Истраживачи су недавно известили о посебној фишинг операцији без датотека која се представљала као Национална полиција Украјине и испоручивала корисне садржаје као што су Amatera Stealer (крађа података) и PureMiner (крипто рударење), што илуструје да се вишеструки вектори и породице малвера користе паралелно против организација у региону.
Праћење, сиолација, санација
С обзиром на активну, циљану природу ове кампање и тактике оператера против анализе, браниоци би требало да претпоставе да је свака сумњива архива испоручена путем Signal-а која садржи Office додатке потенцијално злонамерна. Дајте приоритет обуздавању сумњивих хостова, прикупите нестабилне артефакте (листе процеса, меморија, мрежне везе) и делите потврђене индикаторе са CERT-UA или вашим локалним CSIRT-ом како бисте помогли у мапирању и ометању операција актера.
