CABINETRAT ประตูหลัง
นักวิจัยด้านความปลอดภัยสารสนเทศ (Infosec) ได้เผยแพร่การแจ้งเตือนเกี่ยวกับแคมเปญแบบกำหนดเป้าหมายที่ตรวจพบในเดือนกันยายน 2568 ซึ่งติดตั้งแบ็กดอร์ภาษา C ที่ถูกติดตามในชื่อ CABINETRAT ทีมตอบสนองเหตุฉุกเฉินด้านคอมพิวเตอร์แห่งยูเครน (CERT-UA) ระบุว่า กิจกรรมดังกล่าวเกิดจากคลัสเตอร์ที่ถูกติดตาม (UAC-0245) หลังจากที่นักวิเคราะห์ค้นพบโปรแกรมเสริมของ Microsoft Excel (ไฟล์ XLL) ที่ถูกนำไปใช้เป็นอาวุธในห่วงโซ่การโจมตี
สารบัญ
ไฟล์ ZIP และเอกสารตำรวจปลอม
รายงานระบุว่า ผู้โจมตีได้รวบรวมไฟล์ XLL อันตรายไว้ในไฟล์ ZIP และเผยแพร่ผ่านแอปพลิเคชันส่งข้อความ Signal โดยปลอมแปลงเป็นเอกสารที่เกี่ยวข้องกับการกักขังที่ชายแดนยูเครน เมื่อเหยื่อดึงไฟล์ XLL ออกมาและเปิดไฟล์ ลำดับการดรอปจะเริ่มต้นขึ้น
สิ่งที่ Dropper สร้างขึ้น
ไฟล์หลายไฟล์ถูกสร้างขึ้นบนระบบที่ถูกบุกรุก รวมถึง:
- EXE ที่วางอยู่ในโฟลเดอร์เริ่มต้นระบบ Windows
- XLL ชื่อ BasicExcelMath.xll ใน %APPDATA%\Microsoft\Excel\XLSTART\
- PNG ชื่อ Office.png ที่มี shellcode ฝังอยู่จริง
ไฟล์เหล่านี้จะถูกสร้างขึ้นบนโฮสต์เป็นส่วนหนึ่งของการคงอยู่และการจัดเตรียมเพย์โหลด
เพย์โหลดถูกเปิดใช้งานอย่างไร
XLL ที่ฝังไว้จะกำหนดค่ารายการรีจิสทรีเพื่อให้แน่ใจว่า EXE จะทำงานเมื่อเริ่มต้นระบบ จากนั้นจึงเปิด Excel (excel.exe) ด้วยสวิตช์ /e (embed) ในโหมดซ่อน เพื่อให้ Add-in โหลดแบบเงียบๆ XLL ที่โหลดมาจะดึง shellcode ที่ซ่อนอยู่ในไฟล์ PNG ที่แนบมา ซึ่ง shellcode ดังกล่าวคือ CABINETRAT ที่ฝังไว้ คำแนะนำของ Microsoft ระบุว่า Add-in XLL ที่ไม่น่าเชื่อถือมักถูกนำไปใช้ในทางที่ผิดโดยผู้คุกคาม และ Excel เวอร์ชันใหม่จะบล็อก XLL ที่ไม่น่าเชื่อถือตามค่าเริ่มต้น แต่การใช้กลวิธีทางสังคมและการอนุมัติผู้ใช้ยังคงทำให้ Add-in เหล่านั้นทำงานได้
การวิเคราะห์ต่อต้านและการวัดแบบแซนด์บ็อกซ์
ทั้งตัวโหลด XLL และเชลล์โค้ดในหน่วยความจำจะทำการตรวจสอบ anti-VM และ anti-analysis ตัวอย่างที่พบในตัวอย่าง ได้แก่ การตรวจสอบว่ามี CPU อย่างน้อยสองคอร์ การตรวจสอบ RAM อย่างน้อย ~3 GB และการค้นหาอาร์ทิแฟกต์ของการจำลองเสมือนหรือการวิเคราะห์ (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) การตรวจสอบเหล่านี้มีวัตถุประสงค์เพื่อยกเลิกหรือเปลี่ยนแปลงพฤติกรรมในสภาพแวดล้อมแล็บ/แซนด์บ็อกซ์ และลดโอกาสในการถูกตรวจจับ
ความสามารถที่เป็นอันตรายของ CABINETRAT
CABINETRAT เป็นแบ็กดอร์เต็มรูปแบบที่เขียนด้วยภาษา C ความสามารถที่บันทึกไว้ประกอบด้วย การแจงนับระบบ (ข้อมูลระบบปฏิบัติการและฮาร์ดแวร์), การแสดงรายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ, การแจงนับไดเรกทอรี, การลบไฟล์หรือโฟลเดอร์ที่ระบุ, การรันคำสั่งตามอำเภอใจ และการอัปโหลด/ดาวน์โหลดไฟล์ การสื่อสารผ่านเครือข่ายเกิดขึ้นผ่านช่องสัญญาณ TCP ไปยังโครงสร้างพื้นฐาน Command-and-Control (C2) ระยะไกล ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถโต้ตอบกับโฮสต์ที่ติดไวรัสได้
การรณรงค์ที่คล้ายกันกับยูเครน
การเปิดเผยนี้เกิดขึ้นหลังจากแคมเปญโจมตีองค์กรยูเครนที่มุ่งเป้าโจมตีองค์กรอื่นๆ อย่างรุนแรง นักวิจัยเพิ่งรายงานถึงปฏิบัติการฟิชชิ่งแบบไร้ไฟล์ที่แอบอ้างตัวเป็นตำรวจแห่งชาติยูเครน และส่งข้อมูลต่างๆ เช่น Amatera Stealer (การขโมยข้อมูล) และ PureMiner (การขุดคริปโต) ซึ่งแสดงให้เห็นว่ามีการใช้เวกเตอร์และมัลแวร์หลายตระกูลควบคู่กันกับองค์กรต่างๆ ในภูมิภาค
ตรวจสอบ ไซโอเลต เยียวยา
ด้วยลักษณะการกำหนดเป้าหมายอย่างแข็งขันของแคมเปญนี้ รวมถึงกลยุทธ์ต่อต้านการวิเคราะห์ของผู้ให้บริการ ผู้ป้องกันควรสันนิษฐานว่าไฟล์เก็บถาวรที่น่าสงสัยใดๆ ที่ส่งโดย Signal ซึ่งมี Add-in ของ Office อาจเป็นอันตราย จัดลำดับความสำคัญของการควบคุมโฮสต์ที่น่าสงสัย รวบรวมอาร์ทิแฟกต์ที่ระเหยง่าย (รายการกระบวนการ หน่วยความจำ การเชื่อมต่อเครือข่าย) และแบ่งปันตัวบ่งชี้ที่ได้รับการยืนยันกับ CERT-UA หรือ CSIRT ในพื้นที่ของคุณ เพื่อช่วยวางแผนและขัดขวางการทำงานของผู้กระทำ
