Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), ülkedeki yeni hedefli siber saldırıları, Cabinetrat adlı bir arka kapı kullanarak uyardı.
Eylül 2025’te gözlemlenen faaliyet, izlediği bir tehdit kümesine atfedildi. UAC-0245. Ajans, genellikle Excel’in işlevselliğini özel işlevlerle genişletmek için kullanılan Microsoft Excel eklentilerine atıfta bulunan XLL dosyaları biçimini alan yazılım araçlarının keşfinden sonra saldırıyı fark ettiğini söyledi.
Daha fazla araştırma, XLL dosyalarının, Ukrayna sınırını geçmeye çalışan bireylerin gözaltına alınmasına ilişkin bir belge olarak gizlenmiş olan Sinyal Mesajlaşma uygulamasında paylaşılan ZIP arşivleri içinde dağıtıldığını ortaya çıkardı.
Başlatıldıktan sonra XLL, uzlaşmış ana bilgisayarda bir dizi yürütülebilir dosyalar oluşturmak için tasarlanmıştır, yani başlangıç klasöründeki bir exe dosyası, “Basicexcelmath.xll” adlı bir XLL dosyası “%AppData%\ microsoft \ excel \ xlstart \” dizininde ve bir png görüntü.
Windows kayıt defteri değişiklikleri, yürütülebilir dosyanın kalıcılığını sağlamak için yapılır, daha sonra XLL eklentisini çalıştırmak için Gizli Mod’da “/e” (“/gömme”) parametresiyle Excel uygulamasını (“excel.exe”) başlatır. XLL’nin temel amacı, kabine olarak sınıflandırılan PNG dosya kabuk kodundan ayrıştırmak ve çıkarmaktır.
Hem XLL yükü hem de kabuk kodu, en az iki işlemci çekirdeği ve en az 3GB RAM’i kontrol etmek de dahil olmak üzere algılamadan kaçınmak için bir dizi anti-VM ve anti-analiz prosedürü ile birlikte gelir ve VMware, Virtualbox, Xen, Qemu, paraleller ve hiper-V gibi araçların varlığı.
C programlama dilinde yazılmış tam teşekküllü bir arka kapı olan Cabinetrat, esas olarak sistem bilgilerini, yüklü programların, ekran görüntülerinin bir listesini, ayrıca dizin içeriğini numaralandırmak, belirli dosyaları veya dizinleri silmek, komutları çalıştırmak ve dosya yüklemeleri/indirmeleri yapmak için tasarlanmıştır. Bir TCP bağlantısı üzerinden uzak bir sunucu ile iletişim kurar.
Açıklama, Fortinet Fordiguard Labs’ın Ukrayna’yı hedefleyen saldırıları, Ukrayna Ulusal Polisi’ni, Amatera Stealer ve Pureminer’ı hedeflenen sistemlerden hasat ve madencilik kripto para birimini sağlayan evraksız bir kimlik avı kampanyasında taklit ederek uyarmasından günler sonra geliyor.