CABINETRAT 後門

資安研究人員發布了一份警報，指出2025年9月觀察到的一次針對性攻擊活動安裝了一個名為CABINETRAT的C語言後門。烏克蘭電腦緊急應變小組（CERT-UA）表示，該活動歸因於一個追蹤的叢集（UAC-0245），先前分析師發現攻擊鏈中使用了武器化的Microsoft Excel插件（XLL檔案）。

ZIP 文件和偽造的警察文件

據報道，攻擊者將惡意 XLL 檔案打包在 ZIP 壓縮包中，並透過 Signal 訊息應用程式進行傳播，偽裝成與烏克蘭邊境拘留相關的文件。當受害者提取並開啟 XLL 檔案時，惡意軟體就會開始投放。

Dropper 創造了什麼

受感染的系統上會產生多個文件，包括：

• 放置在 Windows 啟動資料夾中的 EXE
• %APPDATA%\Microsoft\Excel\XLSTART\ 中名為 BasicExcelMath.xll 的 XLL
• 名為 Office.png 的 PNG 圖像實際上帶有嵌入的 shellcode

這些檔案是在主機上作為持久性和有效載荷暫存的一部分建立的。

如何啟動有效載荷

植入的 XLL 會配置註冊表項，以確保 EXE 在啟動時運行，然後使用 /e（嵌入）開關以隱藏模式啟動 Excel (excel.exe)，以便插件靜默加載。載入的 XLL 會擷取隱藏在隨附 PNG 影像中的 Shellcode；該 Shellcode 就是 CABINETRAT 植入程式。微軟的指南指出，不受信任的 XLL 插件經常被威脅行為者濫用，而現代 Excel 版本預設會阻止不受信任的 XLL，但社會工程和使用者批准仍然可以讓它們運作。

反分析和沙盒措施

XLL 載入器和記憶體中的 Shellcode 都會執行反虛擬機器和反分析檢查。樣本中觀察到的範例包括：驗證至少兩個 CPU 核心、檢查至少約 3 GB 的 RAM，以及搜尋虛擬化或分析工具（VMware、VirtualBox、Xen、QEMU、Parallels、Hyper-V）。這些檢查旨在中止或更改實驗室/沙盒環境中的行為，並降低被檢測到的可能性。

CABINETRAT 的惡意功能

CABINETRAT 是一個用 C 語言寫的完整後門程式。其已記錄的功能包括：系統枚舉（獲取作業系統和硬體資訊）、列出已安裝的應用程式、截取螢幕截圖、枚舉目錄、刪除指定檔案或資料夾、執行任意命令以及上傳/下載檔案。網路通訊透過 TCP 通道與遠端命令與控制 (C2) 基礎設施進行，允許攻擊者與受感染的主機進行互動。

針對烏克蘭的類似行動

在此次披露之前，烏克蘭實體還遭遇過其他高度針對性的攻擊活動。研究人員最近報告了一起單獨的無文件網路釣魚攻擊，該攻擊活動冒充了烏克蘭國家警察，並投放了 Amatera Stealer（資料竊取）和 PureMiner（加密挖礦）等載荷，這表明該地區的組織正同時遭受多種攻擊載體和惡意軟體家族的攻擊。

監測、隔離、補救

鑑於此攻擊活動的主動性和針對性，以及攻擊者的反分析策略，防禦者應假設任何包含 Office 加載項的可疑 Signal 檔案都可能存在惡意行為。應優先控制可疑主機，收集揮發性工件（進程清單、記憶體、網路連線），並與 CERT-UA 或您當地的 CSIRT 共享已確認的指標，以協助對應並封鎖攻擊者的操作。