CABINETRAT 后门

信息安全研究人员发布了一份警报，指出2025年9月观察到的一次针对性攻击活动安装了一个名为CABINETRAT的C语言后门。乌克兰计算机应急响应小组（CERT-UA）表示，该活动归因于一个跟踪的集群（UAC-0245），此前分析师发现攻击链中使用了武器化的Microsoft Excel插件（XLL文件）。

ZIP 文件和伪造的警察文件

据报道，攻击者将恶意 XLL 文件打包在 ZIP 压缩包中，并通过 Signal 消息应用程序进行传播，伪装成与乌克兰边境拘留相关的文件。当受害者提取并打开 XLL 文件时，恶意软件便会开始投放。

Dropper 创造了什么

受感染的系统上会生成多个文件，包括：

• 放置在 Windows 启动文件夹中的 EXE
• %APPDATA%\Microsoft\Excel\XLSTART\ 中名为 BasicExcelMath.xll 的 XLL
• 名为 Office.png 的 PNG 图像实际上带有嵌入的 shellcode

这些文件是在主机上作为持久性和有效载荷暂存的一部分创建的。

如何激活有效载荷

植入的 XLL 会配置注册表项，以确保 EXE 在启动时运行，然后使用 /e（嵌入）开关以隐藏模式启动 Excel (excel.exe)，以便插件静默加载。加载的 XLL 会提取隐藏在随附 PNG 图像中的 Shellcode；该 Shellcode 就是 CABINETRAT 植入程序。微软的指南指出，不受信任的 XLL 插件经常被威胁行为者滥用，而现代 Excel 版本默认会阻止不受信任的 XLL，但社会工程学和用户批准仍然可以让它们运行。

反分析和沙盒措施

XLL 加载器和内存中的 Shellcode 都会执行反虚拟机和反分析检查。样本中观察到的示例包括：验证至少两个 CPU 核心、检查至少约 3 GB 的 RAM，以及搜寻虚拟化或分析工具（VMware、VirtualBox、Xen、QEMU、Parallels、Hyper-V）。这些检查旨在中止或更改实验室/沙盒环境中的行为，并降低被检测到的可能性。

CABINETRAT 的恶意功能

CABINETRAT 是一个用 C 语言编写的完整后门程序。其已记录的功能包括：系统枚举（获取操作系统和硬件信息）、列出已安装的应用程序、截取屏幕截图、枚举目录、删除指定文件或文件夹、执行任意命令以及上传/下载文件。网络通信通过 TCP 通道与远程命令与控制 (C2) 基础设施进行，允许攻击者与受感染的主机进行交互。

针对乌克兰的类似行动

此次披露之前，乌克兰实体还遭遇过其他高度针对性的攻击活动。研究人员最近报告了一起单独的无文件网络钓鱼攻击，该攻击活动冒充了乌克兰国家警察，并投放了 Amatera Stealer（数据窃取）和 PureMiner（加密挖矿）等载荷，这表明该地区的组织正同时遭受多种攻击载体和恶意软件家族的攻击。

监测、隔离、补救

鉴于此次攻击活动的主动性和针对性，以及攻击者的反分析策略，防御者应假设任何包含 Office 加载项的可疑 Signal 存档都可能存在恶意行为。应优先控制可疑主机，收集易失性工件（进程列表、内存、网络连接），并与 CERT-UA 或您当地的 CSIRT 共享已确认的指标，以帮助映射和阻止攻击者的操作。