CABINETRAT Cửa sau
Các nhà nghiên cứu an ninh thông tin đã công bố cảnh báo về một chiến dịch nhắm mục tiêu được phát hiện vào tháng 9 năm 2025, cài đặt một backdoor ngôn ngữ C được theo dõi là CABINETRAT. Theo Đội Ứng phó Khẩn cấp Máy tính Ukraine (CERT-UA), hoạt động này được cho là do một cụm được theo dõi (UAC-0245) sau khi các nhà phân tích phát hiện ra các tiện ích bổ sung Microsoft Excel (tệp XLL) được sử dụng trong chuỗi tấn công.
Mục lục
Tệp ZIP và tài liệu giả của cảnh sát
Theo báo cáo, kẻ tấn công đã đóng gói các tệp XLL độc hại bên trong các tệp ZIP và phát tán chúng qua ứng dụng nhắn tin Signal, giả mạo là một tài liệu liên quan đến việc giam giữ tại biên giới Ukraine. Khi nạn nhân giải nén và mở tệp XLL, quá trình thả sẽ bắt đầu.
Những gì Dropper tạo ra
Một số tệp đang được tạo trên các hệ thống bị xâm phạm, bao gồm:
- một EXE được đặt vào thư mục Khởi động Windows
- một XLL có tên BasicExcelMath.xll trong %APPDATA%\Microsoft\Excel\XLSTART\
- một PNG có tên Office.png thực sự mang shellcode nhúng
Các tệp này được tạo trên máy chủ như một phần của quá trình duy trì và phân đoạn tải trọng.
Tải trọng được kích hoạt như thế nào
XLL được cấy ghép sẽ cấu hình các mục Registry để đảm bảo tệp EXE chạy khi khởi động, sau đó khởi chạy Excel (excel.exe) với công tắc /e (nhúng) ở chế độ ẩn để tiện ích bổ sung tải âm thầm. XLL được nạp sẽ trích xuất shellcode ẩn bên trong hình ảnh PNG đi kèm; shellcode đó chính là CABINETRAT. Hướng dẫn của Microsoft lưu ý rằng các tiện ích bổ sung XLL không đáng tin cậy thường bị các tác nhân đe dọa lạm dụng, và các phiên bản Excel hiện đại sẽ mặc định chặn các XLL không đáng tin cậy — nhưng kỹ thuật xã hội và sự chấp thuận của người dùng vẫn có thể cho phép chúng chạy.
Phân tích chống và biện pháp Sandbox
Cả trình tải XLL và shellcode trong bộ nhớ đều thực hiện kiểm tra chống VM và chống phân tích. Các ví dụ quan sát được trong các mẫu bao gồm xác minh ít nhất hai lõi CPU, kiểm tra tối thiểu ~3 GB RAM và tìm kiếm các hiện vật ảo hóa hoặc phân tích (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Các kiểm tra này nhằm mục đích hủy bỏ hoặc thay đổi hành vi trong môi trường phòng thí nghiệm/sandbox và giảm khả năng bị phát hiện.
Khả năng độc hại của CABINETRAT
CABINETRAT là một backdoor hoàn chỉnh được viết bằng ngôn ngữ C. Các khả năng được ghi chép lại của nó bao gồm: liệt kê hệ thống (thông tin hệ điều hành và phần cứng), liệt kê các ứng dụng đã cài đặt, chụp ảnh màn hình, liệt kê các thư mục, xóa các tệp hoặc thư mục được chỉ định, thực thi các lệnh tùy ý và tải lên/tải xuống các tệp. Giao tiếp mạng diễn ra qua kênh TCP đến cơ sở hạ tầng Chỉ huy và Điều khiển (C2) từ xa, cho phép người vận hành tương tác với các máy chủ bị nhiễm.
Các chiến dịch tương tự chống lại Ukraine
Tiết lộ này được đưa ra ngay sau các chiến dịch nhắm mục tiêu cao độ khác nhắm vào các thực thể Ukraine. Các nhà nghiên cứu gần đây đã báo cáo một chiến dịch lừa đảo không tệp riêng biệt, mạo danh Cảnh sát Quốc gia Ukraine và phát tán các phần mềm độc hại như Amatera Stealer (đánh cắp dữ liệu) và PureMiner (đào tiền điện tử), cho thấy nhiều vectơ và nhóm phần mềm độc hại đang được sử dụng song song để chống lại các tổ chức trong khu vực.
Giám sát, Siolate, Khắc phục
Do tính chất chủ động, có mục tiêu của chiến dịch này và các chiến thuật chống phân tích của kẻ tấn công, người bảo vệ nên giả định rằng bất kỳ kho lưu trữ Signal đáng ngờ nào chứa các tiện ích bổ sung Office đều có khả năng độc hại. Hãy ưu tiên ngăn chặn các máy chủ bị nghi ngờ, thu thập các hiện vật dễ bay hơi (danh sách quy trình, bộ nhớ, kết nối mạng) và chia sẻ các chỉ số đã được xác nhận với CERT-UA hoặc CSIRT tại địa phương của bạn để giúp lập bản đồ và ngăn chặn hoạt động của kẻ tấn công.
