CERT-UA попереджає про цілеспрямовані атаки на Сили оборони з використанням нового бекдору CABINETRAT

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, що діє у складі Державного центру кіберзахисту Держспецзв’язку, виявила та дослідила серію цілеспрямованих кібератак на представників Сил оборони України.

Для ураження комп'ютерів зловмисники, які відстежуються за ідентифікатором UAC-0245, використовують шкідливі XLL-файли, що маскуються під важливі документи. Наприклад, «Звернення УБД.xll» або документи щодо затримання осіб на кордоні. Розповсюдження здійснюється, зокрема, через месенджер Signal.

Основною метою є встановлення повнофункціонального бекдору CABINETRAT для отримання віддаленого контролю над ураженою системою.

На відміну від поширених атак з використанням документів Word, XLL-файли є виконуваними, і їх відкриття в Microsoft Excel ініціює складний, багатоетапний ланцюг ураження. Спочатку на комп'ютері створюється низка файлів, зокрема виконуваний файл-запускач (runner.exe) та інша XLL-надбудова (loader.xll), яка розміщується в каталозі автозапуску Excel. Для закріплення в системі створюються записи в реєстрі та заплановані завдання.

Кінцевою метою цього ланцюга є запуск прихованого процесу Excel, який автоматично завантажує loader.xll. Цей файл у свою чергу зчитує та виконує основний шкідливий компонент, прихований у звичайному PNG-зображенні. Цей шеллкод і є бекдором CABINETRAT.

CERT-UA рекомендує з особливою обережністю ставитися до будь-яких архівів та файлів, отриманих через месенджер, навіть від знайомих контактів, чиї акаунти могли бути зламані.

При найменших ознаках зловмисної активності невідкладно звертайтеся до CERT-UA: incidents@cert.gov.ua, +38 (044) 281 88 25.

За інформацією Державної служби спеціального зв'язку та захисту інформації України