CABINETRAT Arka Kapı
Bilgi güvenliği araştırmacıları, Eylül 2025'te gözlemlenen ve CABINETRAT olarak izlenen bir C dili arka kapısı kuran hedefli bir saldırı hakkında bir uyarı yayınladı. Ukrayna Bilgisayar Acil Durum Müdahale Ekibi'ne (CERT-UA) göre, analistlerin saldırı zincirinde kullanılan silahlandırılmış Microsoft Excel eklentilerini (XLL dosyaları) keşfetmesinin ardından, etkinlik izlenen bir kümeye (UAC-0245) atfedildi.
İçindekiler
ZIP Dosyaları ve Sahte Bir Polis Belgesi
Raporlara göre, saldırganlar kötü amaçlı XLL dosyalarını ZIP arşivlerine paketleyip, Ukrayna sınırındaki gözaltılarla ilgili bir belge gibi göstererek Signal mesajlaşma uygulaması üzerinden dağıttı. Kurban XLL dosyasını çıkarıp açtığında, bırakma süreci başlıyor.
Damlalığın Yarattığı Şey
Tehlikeye atılan sistemlerde çeşitli dosyalar oluşturuluyor, bunlar arasında şunlar yer alıyor:
- Windows Başlangıç klasörüne yerleştirilen bir EXE
- %APPDATA%\Microsoft\Excel\XLSTART\ dizininde BasicExcelMath.xll adlı bir XLL
- Office.png adında gömülü kabuk kodunu taşıyan bir PNG
Bu dosyalar, kalıcılık ve yük hazırlamanın bir parçası olarak ana bilgisayarda oluşturulur.
Yük Nasıl Etkinleştirilir?
Yerleştirilen XLL, EXE'nin başlangıçta çalışmasını sağlamak için Kayıt Defteri girdilerini yapılandırır ve ardından eklentinin sessizce yüklenmesi için Excel'i (excel.exe) /e (embed) anahtarıyla gizli modda başlatır. Yüklenen XLL, beraberindeki PNG görüntüsünün içine gizlenmiş kabuk kodunu çıkarır; bu kabuk kodu CABINETRAT yerleştirmesidir. Microsoft'un kılavuzu, güvenilmeyen XLL eklentilerinin tehdit aktörleri tarafından sıklıkla kötüye kullanıldığını ve modern Excel sürümlerinin güvenilmeyen XLL'leri varsayılan olarak engellediğini, ancak sosyal mühendislik ve kullanıcı onayının yine de bunların çalışmasına izin verebileceğini belirtiyor.
Anti-analizler ve Deneme Alanı Tedbirleri
Hem XLL yükleyici hem de bellek içi kabuk kodu, sanal makine karşıtı ve analiz karşıtı kontroller gerçekleştirir. Örneklerde gözlemlenen örnekler arasında en az iki CPU çekirdeğinin varlığının doğrulanması, en az 3 GB RAM olup olmadığının kontrol edilmesi ve sanallaştırma veya analiz yapıtlarının (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V) aranması yer alır. Bu kontroller, laboratuvar/deneme ortamı ortamlarında davranışı sonlandırmak veya değiştirmek ve tespit olasılığını azaltmak için tasarlanmıştır.
CABINETRAT’ın Kötü Niyetli Yetenekleri
CABINETRAT, C dilinde yazılmış tam bir arka kapıdır. Belgelenmiş yetenekleri arasında şunlar bulunur: sistem numaralandırması (işletim sistemi ve donanım bilgileri), yüklü uygulamaları listeleme, ekran görüntüsü alma, dizinleri numaralandırma, belirtilen dosya veya klasörleri kaldırma, keyfi komutları çalıştırma ve dosyaları yükleme/indirme. Ağ iletişimleri, uzak Komuta ve Kontrol (C2) altyapısına bir TCP kanalı üzerinden gerçekleşir ve operatörlerin enfekte olmuş bilgisayarlarla etkileşim kurmasına olanak tanır.
Ukrayna’ya Karşı Benzer Kampanyalar
Bu açıklama, Ukraynalı kuruluşlara yönelik diğer hedef odaklı saldırıların hemen ardından geldi. Araştırmacılar, yakın zamanda Ukrayna Ulusal Polisi'ni taklit eden ve Amatera Stealer (veri hırsızlığı) ve PureMiner (kripto madenciliği) gibi zararlı yazılımlar gönderen ayrı bir dosyasız kimlik avı operasyonu bildirdi. Bu durum, bölgedeki kuruluşlara karşı birden fazla vektör ve kötü amaçlı yazılım ailesinin paralel olarak kullanıldığını gösteriyor.
İzle, İzole Et, İyileştir
Bu kampanyanın aktif ve hedef odaklı yapısı ve operatörlerin analiz karşıtı taktikleri göz önüne alındığında, savunmacılar, Office eklentileri içeren Signal tarafından iletilen şüpheli herhangi bir arşivin potansiyel olarak kötü amaçlı olduğunu varsaymalıdır. Şüpheli ana bilgisayarların kontrol altına alınmasına öncelik verin, geçici verileri (işlem listeleri, bellek, ağ bağlantıları) toplayın ve aktörün operasyonlarını haritalayıp kesintiye uğratmak için onaylanmış göstergeleri CERT-UA veya yerel CSIRT'nizle paylaşın.
