CERT-UA警告UAC-0245组织使用CABINETRAT后门攻击乌克兰

乌克兰计算机应急响应小组（CERT-UA）警告称，UAC-0245组织使用CABINETRAT后门进行网络攻击。该活动发现于2025年9月，涉及伪装成软件工具的恶意Excel XLL加载项（如"UBD Request.xll"、“recept_ruslana_nekitenko.xll”）。

这些文件是可执行文件（PE，便携式可执行文件），可以通过Excel加载项管理器使用过程（导出函数）“xlAutoOpen"加载。

目标个人报告称，攻击者试图通过Signal传播恶意文件"500.zip”，伪装成乌克兰边境拘留文件。

当启动时，XLL会在启动文件夹中放置一个EXE文件，在%APPDATA%中放置名为"BasicExcelMath.xll"的XLL文件，以及一个名为"Office.png"的PNG文件。然后修改Windows注册表以维持持久性，以隐藏模式启动Excel，并运行XLL加载项。XLL从PNG文件中提取并执行CABINETRAT shellcode。

XLL有效负载及其shellcode包含反分析检查。它们验证至少有两个CPU核心和3GB RAM，以及虚拟化平台（VMware、VirtualBox、Xen、QEMU、Parallels、Hyper-V）的存在，以逃避检测。它们还验证用户SID不以"500"结尾；并检查PEB调试标志。

CABINETRAT是一个用C语言编写的shellcode工具，可收集操作系统和已安装程序的数据。恶意代码运行命令、处理文件、截取屏幕截图并通过TCP连接到C2服务器。它首先探测端口18700、42831、20046和33976（类似端口敲门）。

大多数消息使用MSZIP压缩，如果太大则进行分割。主要消息类型包括：

• 0：握手（“Ninja” → 服务器回复"Bonjour"）
• 1：运行程序并发送结果
• 2：发送命令输出
• 4：将请求的文件发送到服务器（外泄）
• 5：从服务器接收并保存文件
• 6：握手后发送BIOS GUID
• 7：发送操作系统版本信息（来自Windows注册表）
• 8：报告连接的磁盘
• 9：列出已安装的程序（注册表卸载键）
• 10：列出目录内容（路径+搜索掩码）
• 11：截取并发送屏幕截图
• 12：发送错误代码
• 13：删除文件或文件夹