Бекдор Cabinetrat поширюється за допомогою XLL-файлів та шпигує за Силами оборони

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявила низку програмних засобів, представлених у вигляді XLL-файлів зі специфічними іменами, зокрема «Звернення УБД.xll», «recept_ruslana_nekitenko.xll». Такі файли є виконуваними (PE, Portable excutable) та, серед іншого, можуть завантажуватися Add-in менеджером Excel з використанням процедури (експортованої функції) «xlAutoOpen».

Згодом, від учасників інформаційного обміну отримано повідомлення щодо фіксації спроби розповсюдження засобами Signal файлу «500.zip» під виглядом документа щодо затримання осіб, які намагалися перетнути державний кордон України.

Згаданий архів містить XLL-файл «dodatok.xll», запуск якого забезпечить створення на комп'ютері декількох файлів, а також ключ в гілці «Run» реєстру Windows, а також заплановане завдання з довільною назвою. Мета – запуск excel.exe з параметром «/e» («/embed») у прихованому режимі (без відкриття порожньої Excel таблиці). Ураховуючи створений на попередньому етапі файл «BasicExcelMath.xll», останній автоматично виконується програмою Excel.

Основне призначення XLL-файлу – зчитування «Office.png», пошук шелкоду та передача управління на нього (VirtualProtect + CreateThread). Шелкод класифіковано як програмний засіб Cabinetrat, що є повноцінним бекдором.

Програмний засіб Cabinetrat розроблений з використанням мови програмування С та представлений у вигляді шелкоду. Основний функціонал: отримання інформації про ОС та встановлені програми на ЕОМ, виконання команд, робота з файлами, виготовлення знімків екрана. Для взаємодії з сервером управління використовується протокол TCP.