CABINETRAT Backdoor

செப்டம்பர் 2025 இல் CABINETRAT என கண்காணிக்கப்படும் C-மொழிப் பின்கதவை நிறுவும் ஒரு இலக்கு பிரச்சாரம் குறித்து இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் ஒரு எச்சரிக்கையை வெளியிட்டுள்ளனர். உக்ரைனின் கணினி அவசரநிலை பதிலளிப்பு குழுவின் (CERT-UA) கூற்றுப்படி, தாக்குதல் சங்கிலியில் பயன்படுத்தப்படும் ஆயுதம் ஏந்திய மைக்ரோசாஃப்ட் எக்செல் துணை நிரல்கள் (XLL கோப்புகள்) ஆய்வாளர்கள் கண்டறிந்த பிறகு, இந்த செயல்பாடு கண்காணிக்கப்பட்ட கிளஸ்டருக்கு (UAC-0245) காரணம் என்று கூறப்படுகிறது.

ஜிப் கோப்புகள் மற்றும் போலி போலீஸ் ஆவணம்

அறிக்கைகளின்படி, தாக்குதல் நடத்தியவர்கள் தீங்கிழைக்கும் XLLகளை ZIP காப்பகங்களுக்குள் பேக் செய்து, சிக்னல் செய்தியிடல் செயலியில் விநியோகித்தனர், உக்ரைன் எல்லையில் தடுப்புக்காவல்கள் தொடர்பான ஆவணமாகக் காட்டினர். பாதிக்கப்பட்டவர் XLL-ஐப் பிரித்தெடுத்துத் திறக்கும்போது, டிராப் வரிசை தொடங்குகிறது.

டிராப்பர் என்ன உருவாக்குகிறது

பாதிக்கப்பட்ட கணினிகளில் பல கோப்புகள் உருவாக்கப்படுகின்றன, அவற்றுள்:

• விண்டோஸ் ஸ்டார்ட்அப் கோப்புறையில் ஒரு EXE வைக்கப்படுகிறது.
• %APPDATA%\Microsoft\Excel\XLSTART\ இல் BasicExcelMath.xll என பெயரிடப்பட்ட ஒரு XLL
• உட்பொதிக்கப்பட்ட ஷெல் குறியீட்டைக் கொண்ட Office.png என்ற PNG.

இந்தக் கோப்புகள் ஹோஸ்டில் நிலைத்தன்மை மற்றும் பேலோட்-ஸ்டேஜிங்கின் ஒரு பகுதியாக உருவாக்கப்படுகின்றன.

பேலோட் எவ்வாறு செயல்படுத்தப்படுகிறது

பொருத்தப்பட்ட XLL, தொடக்கத்தில் EXE இயங்குவதை உறுதிசெய்ய பதிவேட்டில் உள்ளீடுகளை உள்ளமைக்கிறது, பின்னர் மறைக்கப்பட்ட பயன்முறையில் /e (embed) சுவிட்சுடன் Excel (excel.exe) ஐத் தொடங்குகிறது, இதனால் செருகு நிரல் அமைதியாக ஏற்றப்படுகிறது. ஏற்றப்பட்ட XLL, அதனுடன் உள்ள PNG படத்திற்குள் மறைந்திருக்கும் ஷெல் குறியீட்டைப் பிரித்தெடுக்கிறது; அந்த ஷெல் குறியீடு CABINETRAT உள்வைப்பு ஆகும். நம்பகமான XLL துணை நிரல்கள் பொதுவாக அச்சுறுத்தல் நடிகர்களால் துஷ்பிரயோகம் செய்யப்படுகின்றன என்றும், நவீன எக்செல் பதிப்புகள் நம்பகமான XLLகளை முன்னிருப்பாகத் தடுக்கின்றன என்றும் மைக்ரோசாப்டின் வழிகாட்டுதல் குறிப்பிடுகிறது - ஆனால் சமூக பொறியியல் மற்றும் பயனர் ஒப்புதல் இன்னும் அவற்றை இயக்க அனுமதிக்கும்.

பகுப்பாய்வு எதிர்ப்பு மற்றும் மணல் பெட்டி நடவடிக்கைகள்

XLL ஏற்றி மற்றும் நினைவகத்தில் உள்ள ஷெல் குறியீடு இரண்டும் ஆன்டி-VM மற்றும் ஆன்டி-பகுப்பாய்வு சோதனைகளைச் செய்கின்றன. மாதிரிகளில் காணப்பட்ட எடுத்துக்காட்டுகளில் குறைந்தது இரண்டு CPU கோர்கள் உள்ளதா என்பதைச் சரிபார்த்தல், குறைந்தபட்சம் ~3 GB RAM உள்ளதா எனச் சரிபார்த்தல் மற்றும் மெய்நிகராக்கம் அல்லது பகுப்பாய்வு கலைப்பொருட்களை (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper‑V) தேடுதல் ஆகியவை அடங்கும். இந்த சோதனைகள் ஆய்வகம்/சாண்ட்பாக்ஸ் சூழல்களில் நடத்தையை நிறுத்த அல்லது மாற்றவும், கண்டறிதலின் சாத்தியக்கூறுகளைக் குறைக்கவும் நோக்கமாகக் கொண்டுள்ளன.

CABINETRAT இன் தீங்கிழைக்கும் திறன்கள்

CABINETRAT என்பது C மொழியில் எழுதப்பட்ட ஒரு முழுமையான பின்கதவு ஆகும். அதன் ஆவணப்படுத்தப்பட்ட திறன்களில் பின்வருவன அடங்கும்: கணினி கணக்கீடு (OS மற்றும் வன்பொருள் தகவல்), நிறுவப்பட்ட பயன்பாடுகளைப் பட்டியலிடுதல், ஸ்கிரீன்ஷாட்களை எடுத்தல், கோப்பகங்களை எண்ணுதல், குறிப்பிட்ட கோப்புகள் அல்லது கோப்புறைகளை அகற்றுதல், தன்னிச்சையான கட்டளைகளை செயல்படுத்துதல் மற்றும் கோப்புகளைப் பதிவேற்றுதல்/பதிவிறக்குதல். நெட்வொர்க் தொடர்புகள் TCP சேனல் வழியாக தொலை கட்டளை மற்றும் கட்டுப்பாடு (C2) உள்கட்டமைப்பிற்கு நிகழ்கின்றன, இதனால் ஆபரேட்டர்கள் பாதிக்கப்பட்ட ஹோஸ்ட்களுடன் தொடர்பு கொள்ள அனுமதிக்கிறது.

உக்ரைனுக்கு எதிரான இதே போன்ற பிரச்சாரங்கள்

உக்ரேனிய நிறுவனங்களுக்கு எதிரான பிற அதிக இலக்கு வைக்கப்பட்ட பிரச்சாரங்களின் பின்னணியில் இந்த வெளிப்பாடு வருகிறது. ஆராய்ச்சியாளர்கள் சமீபத்தில் ஒரு தனி கோப்பு இல்லாத ஃபிஷிங் நடவடிக்கையை உக்ரைனின் தேசிய காவல்துறையைப் போல ஆள்மாறாட்டம் செய்து, அமேடெரா ஸ்டீலர் (தரவு திருட்டு) மற்றும் ப்யூர் மைனர் (கிரிப்டோமினிங்) போன்ற பேலோடுகளை வழங்கியதாக அறிவித்தனர், இது பிராந்தியத்தில் உள்ள நிறுவனங்களுக்கு எதிராக பல வெக்டர்கள் மற்றும் மால்வேர் குடும்பங்கள் இணையாகப் பயன்படுத்தப்படுவதை விளக்குகிறது.

கண்காணி, சியோலேட், சரிசெய்தல்

இந்த பிரச்சாரத்தின் சுறுசுறுப்பான, இலக்கு வைக்கப்பட்ட தன்மை மற்றும் ஆபரேட்டர்களின் பகுப்பாய்வு எதிர்ப்பு தந்திரோபாயங்களைக் கருத்தில் கொண்டு, ஆபீஸ் துணை நிரல்களைக் கொண்ட எந்தவொரு சந்தேகத்திற்கிடமான சிக்னல்-வழங்கப்பட்ட காப்பகமும் தீங்கிழைக்கும் என்று பாதுகாவலர்கள் கருத வேண்டும். சந்தேகிக்கப்படும் ஹோஸ்ட்களைக் கட்டுப்படுத்துவதற்கு முன்னுரிமை கொடுங்கள், நிலையற்ற கலைப்பொருட்களை (செயல்முறை பட்டியல்கள், நினைவகம், நெட்வொர்க் இணைப்புகள்) சேகரிக்கவும், நடிகரின் செயல்பாடுகளை வரைபடமாக்கி சீர்குலைக்க உதவும் வகையில் CERT-UA அல்லது உங்கள் உள்ளூர் CSIRT உடன் உறுதிப்படுத்தப்பட்ட குறிகாட்டிகளைப் பகிரவும்.