- 20,980
- 46
- 8 Ноя 2022
Для проникновения использовали хитрую надстройку для популярного офисного приложения.
CERT-UA зафиксировала новую целенаправленную кампанию против Украины — злоумышленники распространяют вредоносные XLL-модули через архивы в мессенджере Signal и доставляют на машины бэкдор CABINETRAT. Агентство связало инциденты с кластером под меткой UAC-0245. Описало логику атаки и способ маскировки программного обеспечения в деталях.
Атака начинается с ZIP-архива, отправленного в Signal и выданного за документ о задержании людей на границе. Внутри находится XLL-файл — надстройка для Microsoft Excel. При запуске этот модуль создаёт на компьютере несколько объектов: исполняемый файл в папке автозапуска, сам XLL с именем «BasicExcelMath.xll» в каталоге %APPDATA%\Microsoft\Excel\XLSTART\ и картинку «Office.png».
Затем вносятся изменения в реестр для сохранения постоянства в системе, после чего скрыто запускается процесс Excel с параметром /e — это позволяет подгрузить и выполнить XLL-надстройку без видимого интерфейса. Основная задача надстройки — прочитать из файла PNG закодированный шелл-код, представляющий собой CABINETRAT, и передать его в исполнение.
Как отмечает CERT-UA, и XLL, и сам шелл-код оснащены механизмами против анализа: проверками аппаратных характеристик (не менее двух ядер процессора и минимум 3 ГБ оперативной памяти) и поиском признаков виртуальных сред — VMware, VirtualBox, Xen, QEMU, Parallels и Hyper-V. Если среда выглядит как песочница, вредонос не запустится.
CABINETRAT написан на языке C и реализует полноценный набор функций удалённого доступа — сбор системной информации, перечня установленных программ, создание скриншотов, обход и перечисление каталогов, удаление выбранных файлов и папок, выполнение команд и обмен файлами. Коммуникация с управляющим сервером организована по TCP-соединению.
В CERT-UA указывают, что рассылка через Signal и грамотно подобранные темы переписки повышают вероятность открытия вложений, а использование XLL позволяет обойти типичные почтовые фильтры и антивирусные эвристики, поскольку надстройки Excel редко анализируются так же строго, как макросы. Агентство присвоило активности маркировку UAC-0245 и рекомендовало администраторам усилить фильтрацию входящих архивов, блокировать выполнение неподписанных XLL-модулей и проверять автозапуск Office-надстроек.
Ключевые рекомендации включают запрет на автоматическое открытие вложений из мессенджеров, строгую политику доверенных надстроек Office, мониторинг сетевых соединений на неожиданный TCP-трафик и оперативную проверку подозрительных изменений реестра и автозапуска. Также рекомендуется распространить среди сотрудников примеры маскировки, используемые в рассылках, чтобы снизить вероятность клика по вредоносным архивам.
CERT-UA зафиксировала новую целенаправленную кампанию против Украины — злоумышленники распространяют вредоносные XLL-модули через архивы в мессенджере Signal и доставляют на машины бэкдор CABINETRAT. Агентство связало инциденты с кластером под меткой UAC-0245. Описало логику атаки и способ маскировки программного обеспечения в деталях.
Атака начинается с ZIP-архива, отправленного в Signal и выданного за документ о задержании людей на границе. Внутри находится XLL-файл — надстройка для Microsoft Excel. При запуске этот модуль создаёт на компьютере несколько объектов: исполняемый файл в папке автозапуска, сам XLL с именем «BasicExcelMath.xll» в каталоге %APPDATA%\Microsoft\Excel\XLSTART\ и картинку «Office.png».
Затем вносятся изменения в реестр для сохранения постоянства в системе, после чего скрыто запускается процесс Excel с параметром /e — это позволяет подгрузить и выполнить XLL-надстройку без видимого интерфейса. Основная задача надстройки — прочитать из файла PNG закодированный шелл-код, представляющий собой CABINETRAT, и передать его в исполнение.
Как отмечает CERT-UA, и XLL, и сам шелл-код оснащены механизмами против анализа: проверками аппаратных характеристик (не менее двух ядер процессора и минимум 3 ГБ оперативной памяти) и поиском признаков виртуальных сред — VMware, VirtualBox, Xen, QEMU, Parallels и Hyper-V. Если среда выглядит как песочница, вредонос не запустится.
CABINETRAT написан на языке C и реализует полноценный набор функций удалённого доступа — сбор системной информации, перечня установленных программ, создание скриншотов, обход и перечисление каталогов, удаление выбранных файлов и папок, выполнение команд и обмен файлами. Коммуникация с управляющим сервером организована по TCP-соединению.
В CERT-UA указывают, что рассылка через Signal и грамотно подобранные темы переписки повышают вероятность открытия вложений, а использование XLL позволяет обойти типичные почтовые фильтры и антивирусные эвристики, поскольку надстройки Excel редко анализируются так же строго, как макросы. Агентство присвоило активности маркировку UAC-0245 и рекомендовало администраторам усилить фильтрацию входящих архивов, блокировать выполнение неподписанных XLL-модулей и проверять автозапуск Office-надстроек.
Ключевые рекомендации включают запрет на автоматическое открытие вложений из мессенджеров, строгую политику доверенных надстроек Office, мониторинг сетевых соединений на неожиданный TCP-трафик и оперативную проверку подозрительных изменений реестра и автозапуска. Также рекомендуется распространить среди сотрудников примеры маскировки, используемые в рассылках, чтобы снизить вероятность клика по вредоносным архивам.
- Источник новости
- www.securitylab.ru
