Ukrayna’nın ulusal siber olay müdahale ekibi CERT-UA, kabine arka kapısını dağıtmak için Excel eklentisi (XLL) dosyalarını silahlandıran yeni bir kötü amaçlı yazılım kampanyası hakkında acil bir uyarı yayınladı.
Eylül 2025 boyunca, CERT-UA analistleri, “зВернен çar уд.xll” ve “resept_ruslana_nekitenko.xll” dahil olmak üzere iyi huylu belgeler olarak maskelenen birden fazla kötü niyetli XLL dosyası keşfettiler. xlAutoOpen Hedeflenen sistemlerde yürütme kazanmak için dışa aktarma işlevi.
Operasyon o zamandan beri e -posta cazibesi ötesine genişledi. Signal aracılığıyla paylaşılan istihbarat, saldırganların Ukrayna sınırındaki tutuklamaları detaylandıran bir belge kisvesi altında “500.zip” adlı bir zip arşivi dağıttığını ortaya koydu.
Bu arşivin içinde, yüklendiğinde kurbanın makinesine birkaç yük düşüren kötü niyetli bir eklenti olan “Dodatok.xll” vardı. Bunlar şunları içerir:
- Her ikisine de rastgele adlandırılmış bir yürütülebilir (dahili olarak “runner.exe” olarak adlandırılır)
%APPDATA%\Microsoft\Office\ve kullanıcının başlangıç klasörü. - “Basicexcelmath.xll” (dahili adı “yükleyici.xll”) adlı bir yükleyici XLL dosyası
%APPDATA%\Microsoft\Excel\XLSTART\. - Kabine kabin kodunu içeren bir PNG görüntüsü “Office.png”.
Kalıcılığı sağlamak için, kötü amaçlı yazılım, HKCU\...\Run ve bırakılan yürütülebilir dosyayı sınırlı ayrıcalıklarla çalıştıran rastgele bir ad altında saatlik bir görev planlıyor.
Ayrıca excel yolunu yoluyla doğrular HKLM\...\App Paths\EXCEL.EXEve 14.0, 15.0 ve 16.0 Office sürümleri için DisableItems kayıt şubelerindeki girişleri temizler.
Kurban Excel’i başlattığında /e (gömme) parametresi, “Basicexcelmath.xll” dosyası yeni bir çalışma kitabı görüntüleymeden otomatik yükler.
“Office.png” okur, gömülü kabuk kodunu bulur ve şifresini çözer ve ardından onu kullanır VirtualProtect Ve CreateThread. CERT-UA analistleri, chopcode’u, C’de yazılmış, bilgi toplama, komut yürütme, dosya işlemleri, ekran görüntüsü yakalama ve TCP iletişimini destekleyen tam özellikli bir kötü amaçlı yazılım olan kabine backdoor olarak doğruladı.
Cabinat’ın ağ protokolü, bir TCP kanalı kurmadan önce 18700, 42831, 20046 ve 33976 bağlantı noktalarında bağlantı kurmaya çalışır.
Bağlandıktan sonra, Init paketlerini (“ninja”/“bonjour”) değiştirir, verileri Windows sıkıştırma API’si üzerinden MSZIP kullanarak sıkıştırır ve 65.535 baytı aşan parçalar yükleri.
Paket türleri uzaktan program yürütme, komut çıkışı eksfiltrasyonu, dosya aktarımı, BIOS Guid raporlama, kayıt defteri ve disk numaralandırması, yüklü programlar listesi, dizin listesi, ekran görüntüsü yakalama, hata raporlama ve dosya silme işlemini destekler.
Tespit ve engelleme analizini önlemek için, tüm XLL bileşenleri ve kabuk kodu sağlam anti-VM ve anti-analiz kontrolleri uygular.
Yokluğunu doğrularlar wine_get_unix_file_name Kernel32.dll’de sanallaştırma satıcıları (“VMware,” “VirtualBox”, “qemu” vb.), Hipervisor eserleri için en az iki CPU çekirdeği ve 3 GB RAM için ekran cihazlarını numaralandırın, RDTSC ile tekrarlanan cpuid yürütme süresi ölçümlerini gerçekleştirin, 500 ile sonuçlanmayın, “500’ü yapın”, bios tablolarını inceleyin, bu da “Mevcut kullanıcının son ölçümlerini yapın”, “500’ü yapın”, “500’ü yapın”. İşlem Çevre Bloğu (PEB). Dizeler ve kod, gizli veri dizilerine başvuran 32 bit dizin tabloları ile gizlenmiştir.
Bu taktik ve tekniklerin yeniliği göz önüne alındığında-ve UAC-0002 tehdit grubunun Ukrayna kritik altyapısını hedefleyen geçmiş XLL tabanlı saldırıları göz önüne alındığında, bu kampanyayı izlemek için yeni bir tanımlayıcı olan UAC-0245 atadı.
Uzlaşma göstergeleri, kötü amaçlı XLL, EXE, PNG ve ZIP dosyaları için düzinelerce SHA-256 karma ve kayıt defteri anahtarları, planlanan görev adları, dosya yolları içerir. %APPDATA% Ve %LOCALAPPDATA%ve IP adresleri 20[.]112.250.113 ve 20[.]443 ve 433 bağlantı noktalarında 70.246.20.
Kuruluşlar ve bireyler, Excel eklentisi yüklemesini engellemeleri veya yakından izlemeleri, şüpheli fermuar eklerini incelemeleri ve giden trafiği belirtilen IP adresleriyle sınırlamak için ağ kurallarını uygulamaları istenir.
Dolap imzalarını tespit etmek ve ofis uygulamaları içindeki makro yürütme kısıtlamalarının sağlanması için son nokta güvenlik çözümlerinin düzenli olarak güncellenmesi de bu gelişen tehdide karşı kritik savunmalar olarak önerilmektedir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.