CABINETRAT Hintertür
Infosec-Forscher haben eine Warnung zu einer im September 2025 beobachteten gezielten Kampagne veröffentlicht, die eine C-Backdoor mit dem Namen CABINETRAT installiert. Laut dem Computer Emergency Response Team der Ukraine (CERT-UA) wird die Aktivität einem verfolgten Cluster (UAC-0245) zugeordnet, nachdem die Analysten in der Angriffskette waffenfähige Microsoft Excel-Add-Ins (XLL-Dateien) entdeckt hatten.
Inhaltsverzeichnis
ZIP-Dateien und ein gefälschtes Polizeidokument
Den Berichten zufolge verpackten die Angreifer die schädlichen XLLs in ZIP-Archive und verteilten sie über die Messaging-App Signal. Sie gaben sich als Dokumente im Zusammenhang mit Festnahmen an der ukrainischen Grenze aus. Sobald ein Opfer die XLL extrahiert und öffnet, beginnt die Ablagesequenz.
Was der Dropper schafft
Auf den kompromittierten Systemen werden mehrere Dateien generiert, darunter:
- eine EXE-Datei im Windows-Startordner
- eine XLL mit dem Namen BasicExcelMath.xll in %APPDATA%\Microsoft\Excel\XLSTART\
- ein PNG mit dem Namen Office.png, das tatsächlich eingebetteten Shellcode enthält
Diese Dateien werden im Rahmen der Persistenz und Nutzlastbereitstellung auf dem Host erstellt.
So wird die Nutzlast aktiviert
Das implantierte XLL konfiguriert Registrierungseinträge, um sicherzustellen, dass die EXE-Datei beim Systemstart ausgeführt wird. Anschließend startet es Excel (excel.exe) mit dem Schalter /e (embed) im versteckten Modus, sodass das Add-In im Hintergrund geladen wird. Das geladene XLL extrahiert Shellcode, der im zugehörigen PNG-Bild verborgen ist; dieser Shellcode ist das CABINETRAT-Implantat. Microsofts Richtlinien weisen darauf hin, dass nicht vertrauenswürdige XLL-Add-Ins häufig von Cyberkriminellen missbraucht werden. Moderne Excel-Versionen blockieren nicht vertrauenswürdige XLLs standardmäßig – Social Engineering und Benutzergenehmigungen können sie jedoch dennoch ausführen.
Anti-Analysen und Sandbox-Maßnahmen
Sowohl der XLL-Loader als auch der In-Memory-Shellcode führen Anti-VM- und Anti-Analyse-Prüfungen durch. Beispiele aus den Beispielen umfassen die Überprüfung, ob mindestens zwei CPU-Kerne vorhanden sind, die Überprüfung auf mindestens ca. 3 GB RAM und die Suche nach Virtualisierungs- oder Analyseartefakten (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Diese Prüfungen sollen das Verhalten in Labor-/Sandbox-Umgebungen abbrechen oder ändern und die Wahrscheinlichkeit einer Erkennung verringern.
Die bösartigen Fähigkeiten von CABINETRAT
CABINETRAT ist eine vollständige Backdoor in C++. Zu den dokumentierten Funktionen gehören: Systemaufzählung (Betriebssystem- und Hardwareinformationen), Auflistung installierter Anwendungen, Erstellen von Screenshots, Auflisten von Verzeichnissen, Entfernen bestimmter Dateien oder Ordner, Ausführen beliebiger Befehle sowie Hoch- und Herunterladen von Dateien. Die Netzwerkkommunikation erfolgt über einen TCP-Kanal zur Remote-Command-and-Control-Infrastruktur (C2), wodurch Betreiber mit infizierten Hosts interagieren können.
Ähnliche Kampagnen gegen die Ukraine
Diese Enthüllung folgt auf andere gezielte Kampagnen gegen ukrainische Unternehmen. Forscher berichteten kürzlich über eine separate dateilose Phishing-Operation, bei der sich die ukrainische Nationalpolizei ausgab und Schadsoftware wie Amatera Stealer (Datendiebstahl) und PureMiner (Kryptomining) verbreitete. Dies verdeutlicht, dass mehrere Vektoren und Malware-Familien parallel gegen Organisationen in der Region eingesetzt werden.
Überwachen, isolieren, beheben
Angesichts des aktiven, zielgerichteten Charakters dieser Kampagne und der Anti-Analyse-Taktiken der Betreiber sollten Verteidiger davon ausgehen, dass jedes verdächtige, von Signal bereitgestellte Archiv mit Office-Add-Ins potenziell schädlich ist. Konzentrieren Sie sich vorrangig auf die Eindämmung verdächtiger Hosts, sammeln Sie flüchtige Artefakte (Prozesslisten, Speicher, Netzwerkverbindungen) und geben Sie bestätigte Indikatoren an CERT-UA oder Ihr lokales CSIRT weiter, um die Aktivitäten des Angreifers zu kartieren und zu unterbrechen.
