乌克兰警告:通过ZIP文件传播武器化XLL文件投放CABINETRAT恶意软件
乌克兰国家网络事件响应团队CERT-UA发布紧急警告,揭露新型恶意软件活动利用Excel加载项(XLL)文件传播CABINETRAT后门。
在2025年9月期间,CERT-UA分析师发现多个恶意XLL文件伪装成正常文档,包括“Звернення УБД.xll”和“recept_ruslana_nekitenko.xll”,这些文件利用Excel的加载项管理器和xlAutoOpen导出功能在目标系统上执行。
该行动已扩展到电子邮件诱饵之外。通过Signal共享的情报显示,攻击者以详细记录乌克兰边境逮捕情况的文件为幌子,分发名为“500.zip”的ZIP压缩包。该压缩包内包含“dodatok.xll”恶意加载项,加载后会在受害者机器上投放多个有效载荷,包括:
- 一个随机命名的可执行文件(内部称为“runner.exe”),放置在%APPDATA%\Microsoft\Office\和用户的启动文件夹中
- 名为“BasicExcelMath.xll”(内部名“loader.xll”)的加载器XLL文件,安装在%APPDATA%\Microsoft\Excel\XLSTART\目录下
- 包含CABINETRAT shellcode的PNG图像“Office.png”
为确保持久性,恶意软件在HKCU...\Run中创建随机注册表键,并安排每小时运行的计划任务,以有限权限执行投放的可执行文件。它还通过HKLM...\App Paths\EXCEL.EXE验证Excel路径,并清除Office版本14.0、15.0和16.0的DisabledItems注册表分支中的条目。
当受害者使用/e参数启动Excel时,“BasicExcelMath.xll”文件会自动加载而不显示新工作簿。它读取“Office.png”,定位并解密嵌入的shellcode,然后使用VirtualProtect和CreateThread调用它。CERT-UA分析师确认该shellcode为CABINETRAT后门,这是一个用C语言编写的功能齐全的恶意软件,支持信息收集、命令执行、文件操作、屏幕截图捕获和TCP通信。
CABINETRAT的网络协议类似于端口敲门:在建立TCP通道之前,它会尝试连接端口18700、42831、20046和33976。连接后,它交换INIT数据包(“Ninja”/“Bonjour”),通过Windows压缩API使用MSZIP压缩数据,并对超过65,535字节的有效载荷进行分段。其数据包类型支持远程程序执行、命令输出外泄、文件传输、BIOS GUID报告、注册表和磁盘枚举、已安装程序列表、目录列表、屏幕截图捕获、错误报告和文件删除。
为避免检测和阻碍分析,所有XLL组件和shellcode都实施了强大的反虚拟机和反分析检查。它们验证kernel32.dll中是否存在wine_get_unix_file_name,检查BIOS表中的虚拟化供应商信息(“VMware”、“VirtualBox”、“QEMU”等),枚举显示设备以查找虚拟机管理程序痕迹,检查至少两个CPU核心和3GB内存,通过RDTSC执行重复的CPUID执行时间测量,确保当前用户的SID不以“500”结尾,并测试进程环境块(PEB)中的调试标志。字符串和代码通过引用隐藏数据数组的32位索引表进行混淆。
考虑到这些战术和技术的新颖性,以及过去UAC-0002威胁组织针对乌克兰关键基础设施的基于XLL的攻击,CERT-UA为此活动分配了新的标识符UAC-0245。入侵指标包括数十个恶意XLL、EXE、PNG和ZIP文件的SHA-256哈希值,以及注册表键、计划任务名称、%APPDATA%和%LOCALAPPDATA%下的文件路径,以及端口443和433上的IP地址20[.]112.250.113和20[.]70.246.20。
敦促组织和个人阻止或密切监控Excel加载项加载,检查可疑的ZIP附件,并应用网络规则限制到指定IP地址的出站流量。建议定期更新端点安全解决方案以检测CABINETRAT特征,并在Office应用程序中启用宏执行限制,作为应对这一不断演变的威胁的关键防御措施。