CABINETRAT Bakdörr
Infosec-forskare har publicerat en varning om en riktad kampanj som observerades i september 2025 och som installerar en C-språkig bakdörr som spåras som CABINETRAT. Enligt Ukrainas Computer Emergency Response Team (CERT-UA) tillskrivs aktiviteten ett spårat kluster (UAC-0245) efter att analytikerna upptäckt beväpnade Microsoft Excel-tillägg (XLL-filer) som används i attackkedjan.
Innehållsförteckning
ZIP-filer och ett falskt polisdokument
Enligt rapporterna paketerade angriparna de skadliga XLL-filerna i ZIP-arkiv och distribuerade dem via meddelandeappen Signal, och utgav sig för att vara ett dokument relaterat till gripanden vid den ukrainska gränsen. När ett offer extraherar och öppnar XLL-filen börjar släppsekvensen.
Vad Droppern skapar
Flera filer genereras på de komprometterade systemen, inklusive:
- en EXE-fil placerad i Windows startmappen
- en XLL med namnet BasicExcelMath.xll i %APPDATA%\Microsoft\Excel\XLSTART\
- en PNG med namnet Office.png som faktiskt innehåller inbäddad skalkod
Dessa filer skapas på värden som en del av persistens och nyttolast-staging.
Hur nyttolasten aktiveras
Den implanterade XLL-filen konfigurerar registerposter för att säkerställa att EXE-filen körs vid start och startar sedan Excel (excel.exe) med växeln /e (embed) i dolt läge så att tillägget laddas tyst. Den inlästa XLL-filen extraherar skalkod som är dold inuti den medföljande PNG-bilden; den skalkoden är CABINETRAT-implantatet. Microsofts riktlinjer noterar att otillförlitliga XLL-tillägg ofta missbrukas av hotaktörer, och moderna Excel-versioner blockerar otillförlitliga XLL-filer som standard – men social manipulation och användargodkännande kan fortfarande låta dem köras.
Antianalyser och sandlådeåtgärder
Både XLL-laddaren och skalkoden i minnet utför anti-VM- och anti-analyskontroller. Exempel som observerats i exemplen inkluderar verifiering av att det finns minst två CPU-kärnor, kontroll av minst ~3 GB RAM och jakt på virtualiserings- eller analysartefakter (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Dessa kontroller är avsedda att avbryta eller ändra beteende i lab-/sandlådemiljöer och minska sannolikheten för upptäckt.
CABINETRATS skadliga funktioner
CABINETRAT är en komplett bakdörr skriven i C. Dess dokumenterade funktioner inkluderar: systemuppräkning (information om operativsystem och hårdvara), lista installerade applikationer, ta skärmdumpar, räkna upp kataloger, ta bort angivna filer eller mappar, köra godtyckliga kommandon och ladda upp/ladda ner filer. Nätverkskommunikation sker via en TCP-kanal till fjärransluten kommando- och kontrollinfrastruktur (C2), vilket gör det möjligt för operatörer att interagera med infekterade värdar.
Liknande kampanjer mot Ukraina
Detta avslöjande kommer i kölvattnet av andra mycket riktade kampanjer mot ukrainska enheter. Forskare rapporterade nyligen en separat fillös nätfiskeoperation som utgav sig för att vara Ukrainas nationella polis och levererade nyttolaster som Amatera Stealer (datastöld) och PureMiner (kryptomining), vilket illustrerar att flera vektorer och familjer av skadlig kod används parallellt mot organisationer i regionen.
Övervaka, Siolera, Åtgärda
Med tanke på kampanjens aktiva och riktade natur och operatörernas antianalystaktik bör försvarare anta att alla misstänkta Signal-levererade arkiv som innehåller Office-tillägg potentiellt är skadliga. Prioritera inneslutning av misstänkta värdar, samla in flyktiga artefakter (processlistor, minne, nätverksanslutningar) och dela bekräftade indikatorer med CERT-UA eller din lokala CSIRT för att kartlägga och störa aktörens verksamhet.
