CABINETRAT Backdoor

ఇన్ఫోసెక్ పరిశోధకులు సెప్టెంబర్ 2025లో గమనించిన లక్ష్య ప్రచారం గురించి హెచ్చరికను ప్రచురించారు, ఇది CABINETRATగా ట్రాక్ చేయబడిన C-లాంగ్వేజ్ బ్యాక్‌డోర్‌ను ఇన్‌స్టాల్ చేస్తుంది. ఉక్రెయిన్ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ (CERT-UA) ప్రకారం, విశ్లేషకులు దాడి గొలుసులో ఉపయోగించిన ఆయుధరహిత Microsoft Excel యాడ్-ఇన్‌లు (XLL ఫైల్‌లు) కనుగొన్న తర్వాత, ఈ కార్యాచరణ ట్రాక్ చేయబడిన క్లస్టర్ (UAC-0245)కి ఆపాదించబడింది.

జిప్ ఫైల్స్ మరియు నకిలీ పోలీసు పత్రం

నివేదికల ప్రకారం, దాడి చేసేవారు హానికరమైన XLLలను ZIP ఆర్కైవ్‌లలో ప్యాక్ చేసి, సిగ్నల్ మెసేజింగ్ యాప్ ద్వారా పంపిణీ చేశారు, ఉక్రేనియన్ సరిహద్దు వద్ద నిర్బంధాలకు సంబంధించిన పత్రంగా నటిస్తూ. బాధితుడు XLLని సంగ్రహించి తెరిచినప్పుడు, డ్రాప్ సీక్వెన్స్ ప్రారంభమవుతుంది.

డ్రాపర్ ఏమి సృష్టిస్తుంది

ప్రమాదానికి గురైన వ్యవస్థలపై అనేక ఫైల్‌లు ఉత్పత్తి అవుతున్నాయి, వాటిలో:

• విండోస్ స్టార్టప్ ఫోల్డర్‌లో ఉంచబడిన EXE
• %APPDATA%\Microsoft\Excel\XLSTART\ లో BasicExcelMath.xll అనే XLL
• వాస్తవానికి ఎంబెడెడ్ షెల్‌కోడ్‌ను కలిగి ఉన్న Office.png అనే PNG

ఈ ఫైల్‌లు హోస్ట్‌లో నిలకడ మరియు పేలోడ్-స్టేజింగ్‌లో భాగంగా సృష్టించబడతాయి.

పేలోడ్ ఎలా యాక్టివేట్ అవుతుంది

ఇంప్లాంట్ చేయబడిన XLL, EXE స్టార్టప్‌లో నడుస్తుందని నిర్ధారించుకోవడానికి రిజిస్ట్రీ ఎంట్రీలను కాన్ఫిగర్ చేస్తుంది, ఆపై /e (embed) స్విచ్‌తో ఎక్సెల్ (excel.exe)ని దాచిన మోడ్‌లో ప్రారంభిస్తుంది, తద్వారా యాడ్-ఇన్ నిశ్శబ్దంగా లోడ్ అవుతుంది. లోడ్ చేయబడిన XLL దానితో పాటు ఉన్న PNG ఇమేజ్ లోపల దాగి ఉన్న షెల్‌కోడ్‌ను సంగ్రహిస్తుంది; ఆ షెల్‌కోడ్ CABINETRAT ఇంప్లాంట్. విశ్వసనీయత లేని XLL యాడ్-ఇన్‌లను సాధారణంగా బెదిరింపు నటులు దుర్వినియోగం చేస్తారని మరియు ఆధునిక ఎక్సెల్ వెర్షన్‌లు విశ్వసనీయత లేని XLLలను డిఫాల్ట్‌గా బ్లాక్ చేస్తాయని Microsoft యొక్క మార్గదర్శకత్వం పేర్కొంది - కానీ సోషల్ ఇంజనీరింగ్ మరియు వినియోగదారు ఆమోదం ఇప్పటికీ వాటిని అమలు చేయడానికి అనుమతించగలవు.

యాంటీ-ఎనలైసెస్ మరియు శాండ్‌బాక్స్ చర్యలు

XLL లోడర్ మరియు ఇన్-మెమరీ షెల్‌కోడ్ రెండూ యాంటీ-VM మరియు యాంటీ-విశ్లేషణ తనిఖీలను నిర్వహిస్తాయి. నమూనాలలో గమనించిన ఉదాహరణలలో కనీసం రెండు CPU కోర్లు ఉన్నాయని ధృవీకరించడం, కనీసం ~3 GB RAM కోసం తనిఖీ చేయడం మరియు వర్చువలైజేషన్ లేదా విశ్లేషణ కళాఖండాల కోసం వేటాడటం (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) ఉన్నాయి. ఈ తనిఖీలు ల్యాబ్/శాండ్‌బాక్స్ పరిసరాలలో ప్రవర్తనను నిలిపివేయడానికి లేదా మార్చడానికి మరియు గుర్తించే సంభావ్యతను తగ్గించడానికి ఉద్దేశించబడ్డాయి.

CABINETRAT యొక్క హానికరమైన సామర్థ్యాలు

CABINETRAT అనేది C లో వ్రాయబడిన పూర్తి బ్యాక్‌డోర్. దీని డాక్యుమెంట్ సామర్థ్యాలలో ఇవి ఉన్నాయి: సిస్టమ్ ఎన్యూమరేషన్ (OS మరియు హార్డ్‌వేర్ సమాచారం), ఇన్‌స్టాల్ చేయబడిన అప్లికేషన్‌లను జాబితా చేయడం, స్క్రీన్‌షాట్‌లు తీయడం, డైరెక్టరీలను లెక్కించడం, పేర్కొన్న ఫైల్‌లు లేదా ఫోల్డర్‌లను తొలగించడం, ఏకపక్ష ఆదేశాలను అమలు చేయడం మరియు ఫైల్‌లను అప్‌లోడ్ చేయడం/డౌన్‌లోడ్ చేయడం. నెట్‌వర్క్ కమ్యూనికేషన్‌లు TCP ఛానెల్ ద్వారా రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2) మౌలిక సదుపాయాలకు జరుగుతాయి, ఆపరేటర్లు సోకిన హోస్ట్‌లతో సంభాషించడానికి అనుమతిస్తుంది.

ఉక్రెయిన్‌కు వ్యతిరేకంగా ఇలాంటి ప్రచారాలు

ఉక్రేనియన్ సంస్థలకు వ్యతిరేకంగా అత్యంత లక్ష్యంగా చేసుకున్న ఇతర ప్రచారాల నేపథ్యంలో ఈ బహిర్గతం వచ్చింది. పరిశోధకులు ఇటీవల ఒక ప్రత్యేక ఫైల్‌లెస్ ఫిషింగ్ ఆపరేషన్‌ను నివేదించారు, ఇది ఉక్రెయిన్ జాతీయ పోలీసుల వలె నటించి అమటెరా స్టీలర్ (డేటా దొంగతనం) మరియు ప్యూర్‌మైనర్ (క్రిప్టోమినింగ్) వంటి పేలోడ్‌లను పంపిణీ చేసింది, ఈ ప్రాంతంలోని సంస్థలకు వ్యతిరేకంగా బహుళ వెక్టర్‌లు మరియు మాల్వేర్ కుటుంబాలను సమాంతరంగా ఉపయోగిస్తున్నారని ఇది వివరిస్తుంది.

మానిటర్, సియోలేట్, రెమెడియేట్

ఈ ప్రచారం యొక్క చురుకైన, లక్ష్యంగా ఉన్న స్వభావం మరియు ఆపరేటర్ల విశ్లేషణ వ్యతిరేక వ్యూహాల దృష్ట్యా, రక్షకులు ఆఫీస్ యాడ్-ఇన్‌లను కలిగి ఉన్న ఏదైనా అనుమానాస్పద సిగ్నల్-డెలివరీ ఆర్కైవ్ హానికరమైనదని భావించాలి. అనుమానిత హోస్ట్‌ల నియంత్రణకు ప్రాధాన్యత ఇవ్వండి, అస్థిర కళాఖండాలను (ప్రాసెస్ జాబితాలు, మెమరీ, నెట్‌వర్క్ కనెక్షన్‌లు) సేకరించండి మరియు నటుడి కార్యకలాపాలను మ్యాప్ చేయడంలో మరియు అంతరాయం కలిగించడంలో సహాయపడటానికి CERT-UA లేదా మీ స్థానిక CSIRTతో ధృవీకరించబడిన సూచికలను భాగస్వామ్యం చేయండి.