CABINETRAT backdoor terjesztés Signal-on
Az ukrán CERT-UA új, célzott kibertámadásokra figyelmeztetett az országban, amelyek egy CABINETRAT nevű backdoor-t használnak. A 2025. szeptemberben megfigyelt tevékenységet egy UAC-0245 néven nyomon követett fenyegetéscsoporthoz kötik. A CERT-UA gyanús XLL fájlokat észlelt, amelyek a Microsoft Excel kiegészítőkre utalnak, amelyeket általában az Excel funkcióinak bővítésére használnak egyéni funkciókkal.
További vizsgálatok során kiderült, hogy az XLL fájlokat Signal-on megosztott ZIP archívumokban terjesztik, úgy álcázva, mintha az ukrán határt átlépni próbáló személyek őrizetbe vételéről szóló dokumentumok lennének.
Az XLL fájl elindítás után számos fájlt hoz létre a fertőzött hoszton, nevezetesen egy EXE fájlt a Startup mappában, egy „BasicExcelMath.xll” nevű XLL fájlt a „%APPDATA%\Microsoft\Excel\XLSTART\” könyvtárban, valamint egy „Office.png” nevű PNG képet.
A Windows registry módosításai a végrehajtható fájl perzisztenciájának biztosítására szolgálnak, majd a program elindítja az Excel alkalmazást („excel.exe”) „/e” („/embed”) paraméterrel rejtett módban, hogy végül futtassa az XLL kiegészítőt. Az XLL fő célja a PNG fájlból a CABINETRAT shellcode parsolása és kivonása.
Mind az XLL hasznos terhelése, mind a shellcode számos anti-VM és anti-elemzési eljárással rendelkezik a felderítés elkerülése érdekében, beleértve legalább két processzormag és legalább 3 GB RAM, valamint olyan eszközök jelenlétének ellenőrzését, mint a VMware, VirtualBox, Xen, QEMU, Parallels és Hyper-V.
A C programozási nyelven írt, teljes értékű backdoor-ként működő CABINETRAT elsősorban rendszerinformációk, a telepített programok listája, képernyőképek gyűjtésére, valamint a könyvtárak tartalmának listázására, bizonyos fájlok vagy könyvtárak törlésére, parancsok futtatására és fájlok feltöltésére/letöltésére szolgál. TCP-kapcsolaton keresztül kommunikál egy távoli szerverrel.
