详细内容或原文请订阅后点击阅览
CERT-UA警告UAC-0245针对乌克兰带有Cabinetrat后门
CERT-UA警告UAC-0245通过恶意Excel XLL添加剂针对乌克兰带有柜子后门的目标。2025年9月被发现。乌克兰计算机紧急响应小组(CERT-UA)警告了UAC-0245使用Cabaceetrat Backdoor的网络攻击。该广告系列于2025年9月看到,涉及恶意Excel XLL添加剂作为软件工具(例如“ ubd request.xll”,“ cocke_ruslana_nekitenko.xll”)。 […]
来源:Security Affairs _恶意软件CERT-UA警告UAC-0245针对乌克兰带有Cabinetrat后门
CERT-UA警告UAC-0245通过恶意Excel XLL XLL添加件在2025年9月发现的乌克兰带有柜子后门。
使用CabineTrat后门警告乌克兰计算机应急响应团队(CERT-UA)警告网络攻击。该广告系列于2025年9月看到,涉及恶意Excel XLL添加剂作为软件工具(例如“ ubd request.xll”,“ cocke_ruslana_nekitenko.xll”)。
这些文件是可执行的(PE,可移植的),可以使用过程(导出函数)“ Xlautoopen”加载Excel加载机管理器。
有针对性的人报告说,攻击者试图通过信号传播恶意文件“ 500.zip”,将其伪装成乌克兰的边境拘留文件。
“随后,信息交换的参与者收到了一条消息,内容涉及记录试图通过文件伪装的信号来录制文件“ 500.zip”的尝试,以拘留试图越过乌克兰州边界的人。”阅读Cert-UA发布的报告。
报告启动时,XLL将在启动文件夹中放置一个EXE,在%appData%中的XLL中,名为“ BasiceXcelmath.xll”,以及一个称为“ Office.png”的PNG。然后,它修改Windows注册表以保持持久性,以隐藏模式启动Excel,然后运行XLL加载项。 XLL从PNG文件提取并执行Cabinetrat shellcode。
XLL有效载荷及其外壳包括反分析检查。他们验证至少存在两个CPU内核和3GB RAM和虚拟化平台(VMware,VirtualBox,Xen,Qemu,Parallels,Hyper-V),以逃避检测。他们还以“ 500”结束了用户SID;并检查PEB调试标志。
UAC-0002大多数消息用MSZIP压缩,如果太大,则分开。主要消息类型: