Задній дверцята CABINETRAT
Дослідники Infosec опублікували сповіщення про цільову кампанію, виявлену у вересні 2025 року, яка встановлює бекдор мовою C, що відстежується як CABINETRAT. За даними Команди реагування на комп'ютерні надзвичайні ситуації України (CERT‑UA), активність пов'язана з відстежуваним кластером (UAC‑0245) після того, як аналітики виявили озброєні надбудови Microsoft Excel (XLL-файли), що використовуються в ланцюжку атаки.
Зміст
ZIP-файли та підроблений поліцейський документ
Згідно з повідомленнями, зловмисники упакували шкідливі XLL-файли в ZIP-архіви та розповсюдили їх через месенджер Signal, видаючи їх за документи, пов’язані із затриманнями на українському кордоні. Коли жертва витягує та відкриває XLL-файл, починається послідовність їх видалення.
Що створює крапельниця
На скомпрометованих системах генерується кілька файлів, зокрема:
- EXE-файл, розміщений у папці автозавантаження Windows
- XLL-файл з назвою BasicExcelMath.xll у %APPDATA%\Microsoft\Excel\XLSTART\
- PNG-файл з назвою Office.png, який фактично містить вбудований шелл-код
Ці файли створюються на хості як частина збереження та підготовки корисного навантаження.
Як активується корисне навантаження
Імплантований XLL-файл налаштовує записи реєстру, щоб забезпечити запуск EXE-файлу під час запуску, а потім запускає Excel (excel.exe) з параметром /e (embed) у прихованому режимі, щоб надбудова завантажувалася непомітно. Завантажений XLL-файл витягує шелл-код, прихований у супровідному зображенні PNG; цей шелл-код є імплантатом CABINETRAT. У вказівках Microsoft зазначається, що ненадійні надбудови XLL часто використовуються зловмисниками, а сучасні версії Excel блокують ненадійні XLL-файли за замовчуванням, але соціальна інженерія та схвалення користувача все ще можуть дозволити їм працювати.
Антианалізи та заходи пісочниці
Як завантажувач XLL, так і шеллкод у пам'яті виконують перевірки на наявність віртуальних машин та аналіз. Приклади, що спостерігаються у зразках, включають перевірку наявності щонайменше двох ядер процесора, перевірку щонайменше ~3 ГБ оперативної пам'яті та пошук артефактів віртуалізації або аналізу (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Ці перевірки призначені для переривання або зміни поведінки в лабораторних/пісочних середовищах та зменшення ймовірності виявлення.
Зловмисні можливості CABINETRAT
CABINETRAT — це повноцінний бекдор, написаний на C. Його задокументовані можливості включають: перерахування систем (інформація про ОС та обладнання), перелік встановлених програм, створення скріншотів, перерахування каталогів, видалення вказаних файлів або папок, виконання довільних команд та завантаження/вивантаження файлів. Мережевий зв'язок відбувається через TCP-канал з віддаленою інфраструктурою командування та управління (C2), що дозволяє операторам взаємодіяти із зараженими хостами.
Подібні кампанії проти України
Це розкриття інформації відбувається одразу після інших цілеспрямованих кампаній проти українських організацій. Нещодавно дослідники повідомили про окрему фішингову операцію без файлів, яка видавала себе за Національну поліцію України та доставляла такі корисні навантаження, як Amatera Stealer (крадіжка даних) та PureMiner (криптомайнінг), що ілюструє паралельне використання кількох векторів та сімейств шкідливих програм проти організацій у регіоні.
Моніторинг, сиоляція, відновлення
З огляду на активний, цілеспрямований характер цієї кампанії та тактику антианалізу операторів, захисники повинні припускати, що будь-який підозрілий архів, що надходить від Signal та містить надбудови Office, є потенційно шкідливим. Надайте пріоритет стримуванні підозрілих хостів, зберіть нестабільні артефакти (списки процесів, пам’ять, мережеві підключення) та надішліть підтверджені індикатори CERT-UA або вашому місцевому CSIRT, щоб допомогти відобразити та порушити діяльність порушника.
