CABINETRAT Backdoor
Ang mga mananaliksik ng Infosec ay nag-publish ng isang alerto tungkol sa isang naka-target na kampanya na naobserbahan noong Setyembre 2025 na nag-i-install ng isang C-language na backdoor na sinusubaybayan bilang CABINETRAT. Ayon sa Computer Emergency Response Team ng Ukraine (CERT‑UA), ang aktibidad ay iniuugnay sa isang sinusubaybayang cluster (UAC‑0245) pagkatapos matuklasan ng mga analyst ang mga naka-armas na Microsoft Excel add‑in (XLL file) na ginagamit sa attack chain.
Talaan ng mga Nilalaman
Mga ZIP File At Isang Pekeng Dokumento ng Pulisya
Ayon sa mga ulat, ang mga umaatake ay nag-package ng mga nakakahamak na XLL sa loob ng ZIP archive at ipinamahagi ang mga ito sa Signal messaging app, na nagpapanggap bilang isang dokumentong nauugnay sa mga detensyon sa hangganan ng Ukraine. Kapag kinuha at binuksan ng biktima ang XLL, magsisimula ang drop sequence.
Ang Nililikha ng Dropper
Ang ilang mga file ay nabuo sa mga nakompromisong system, kabilang ang:
- isang EXE na inilagay sa folder ng Windows Startup
- isang XLL na pinangalanang BasicExcelMath.xll sa %APPDATA%\Microsoft\Excel\XLSTART\
- isang PNG na pinangalanang Office.png na talagang nagdadala ng naka-embed na shellcode
Ang mga file na ito ay ginawa sa host bilang bahagi ng pagtitiyaga at payload-staging.
Paano Na-activate ang Payload
Kino-configure ng implant na XLL ang mga entry sa Registry para matiyak na tumatakbo ang EXE sa startup, pagkatapos ay ilulunsad ang Excel (excel.exe) gamit ang /e (embed) switch sa hidden mode para tahimik na naglo-load ang add‑in. Kinukuha ng load XLL ang shellcode na nakatago sa loob ng kasamang PNG na imahe; ang shellcode na iyon ay ang CABINETRAT implant. Ang gabay ng Microsoft ay nagsasaad na ang mga hindi pinagkakatiwalaang XLL add‑in ay karaniwang inaabuso ng mga aktor ng pagbabanta, at hinaharangan ng mga modernong bersyon ng Excel ang mga hindi pinagkakatiwalaang XLL bilang default — ngunit ang social engineering at pag-apruba ng user ay maaari pa ring hayaang tumakbo ang mga ito.
Mga Anti-analyse At Sandbox Measures
Parehong gumaganap ang XLL loader at ang in-memory na shellcode ng mga anti-VM at anti-analysis na pagsusuri. Kasama sa mga halimbawang naobserbahan sa mga sample ang pag-verify na mayroong hindi bababa sa dalawang CPU core, pagsuri ng minimum na ~3 GB ng RAM, at pangangaso para sa virtualization o mga artifact ng pagsusuri (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper‑V). Nilalayon ng mga pagsusuring ito na i-abort o baguhin ang gawi sa mga kapaligiran ng lab/sandbox at bawasan ang posibilidad na matukoy.
Mga Nakakahamak na Kakayahan ng CABINETRAT
Ang CABINETRAT ay isang buong backdoor na nakasulat sa C. Kasama sa mga dokumentadong kakayahan nito ang: system enumeration (OS at hardware info), paglilista ng mga naka-install na application, pagkuha ng mga screenshot, pag-enumerate ng mga direktoryo, pag-alis ng mga tinukoy na file o folder, pagpapatupad ng mga arbitrary na command, at pag-upload/pag-download ng mga file. Nagaganap ang mga komunikasyon sa network sa isang TCP channel sa malayuang Command-and-Control (C2) na imprastraktura, na nagpapahintulot sa mga operator na makipag-ugnayan sa mga nahawaang host.
Mga Katulad na Kampanya Laban sa Ukraine
Ang pagbubunyag na ito ay nagmula sa takong ng iba pang lubos na naka-target na mga kampanya laban sa mga entidad ng Ukrainian. Kamakailan ay nag-ulat ang mga mananaliksik ng isang hiwalay na operasyon ng phishing na walang file na nagpapanggap bilang National Police ng Ukraine at naghatid ng mga payload gaya ng Amatera Stealer (pagnanakaw ng data) at PureMiner (cryptomining), na naglalarawan na maraming mga vector at malware na pamilya ang ginagamit nang magkatulad laban sa mga organisasyon sa rehiyon.
Subaybayan, Siolate, Remediate
Dahil sa aktibo, naka-target na katangian ng kampanyang ito at mga taktika ng anti-analysis ng mga operator, dapat ipagpalagay ng mga tagapagtanggol ang anumang kahina-hinalang archive na inihatid ng Signal na naglalaman ng mga add-in ng Office ay potensyal na nakakahamak. Unahin ang pagpigil sa mga pinaghihinalaang host, mangolekta ng mga pabagu-bagong artifact (mga listahan ng proseso, memorya, mga koneksyon sa network), at magbahagi ng mga kumpirmadong indicator sa CERT‑UA o sa iyong lokal na CSIRT upang makatulong sa pagmamapa at pagkagambala sa mga operasyon ng aktor.
