Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

CABINETRAT: XLL-надстройки, устойчивость и шпионаж в Windows

2
3 мин
Оглавление
Источник: www.picussecurity.com
Источник: www.picussecurity.com

Вредоносное ПО CABINETRAT, действующее против систем Windows, выявлено как инструмент, применяемый как для шпионажа, так и для атак с финансовой мотивацией. Отдельная особенность кампании — использование необычного векторa доставки и закрепления: выполнение шелл‑кода через XLL-файлы — надстройки Excel, которые по сути являются библиотеками DLL и автоматически загружаются приложением.

Краткое описание механики атаки

«XLL‑файлы — Надстройки Excel с собственным кодом, которые по сути являются библиотеками DLL, расширяющими функциональность Excel».

Атакующие эксплуатируют механизм автоматической загрузки XLL-надстроек при запуске или по требованию, чтобы выполнить вредоносный код в контексте процесса Excel. После выполнения CABINETRAT применяет комплекс методов для закрепления и скрытной работы в системе.

Методы закрепления в системе

  • Размещение вредоносного исполняемого файла в папке автозагрузки пользователя, что обеспечивает запуск при входе в систему.
  • Манипуляции с реестром Windows: создание новой записи под ключом Run, которая автоматически запускает cmd.exe при входе пользователя.
  • Создание запланированной задачи с помощью утилиты Schtasks, что повышает устойчивость присутствия вредоносного кода в системе.

Сбор разведданных и сборка контекста системы

CABINETRAT выполняет широкий спектр действий по разведке:

  • Запрос в реестре пути к EXCEL.EXE и доступ к разделам системного уровня реестра для сбора конфигурационных данных.
  • Сбор сведений о физической памяти и количестве ядер процессора через WMI.
  • Проверка привилегий пользователя для определения, обладает ли текущая учётная запись правами администратора.
  • Сбор информации о дисках с помощью команд PowerShell.
  • Манипуляции с реестром для удаления следов отключённых Excel‑надстроек, что затрудняет последующее обнаружение.

Методы уклонения и слежения за средой выполнения

  • Проверки на наличие Wine/совместимых сред через инспекцию экспортов Kernel32.dll.
  • Обнаружение виртуальных машин путём перечисления подключённых устройств отображения (display devices).
  • Анти‑отладочные проверки: анализ PEB (Process Environment Block) на наличие активных отладочных сессий.
  • Возможность создания скриншотов средствами .NET, что позволяет собирать визуальную информацию из сессий пользователя.

Последствия и риски

Комбинация скрытого запуска через Excel‑надстройки, устойчивого закрепления в автозагрузке и в реестре, а также широких возможностей по сбору информации делает CABINETRAT серьёзной угрозой. Возможные последствия включают утечку конфиденциальных данных, сбор учётных данных, подготовку среды для последующих финансово‑мотивированных операций и длительное скрытое присутствие на целевых системах.

Рекомендации по обнаружению и защите

  • Ограничить автоматическую загрузку сторонних XLL-надстроек и запретить загрузку неподписанных или неавторизованных расширений Excel.
  • Мониторить изменения в папке автозагрузки и в ключе реестра Run, особенно записи, инициирующие cmd.exe или другие необычные процессы.
  • Отслеживать создание и модификацию запланированных задач через Schtasks.
  • Аудит и мониторинг вызовов WMI и скриптов PowerShell, особенно тех, которые собирают информацию о системе или манипулируют реестром.
  • Внедрить EDR/антивирусные решения с возможностью детекции подозрительных загрузок DLL/XLL и поведения, характерного для постэксплуатации.
  • Применять принцип наименьших привилегий: ограничить права пользователей, чтобы не позволять незарегистрированным процессам модифицировать системные ключи реестра и автозапуск.
  • Проверять наличия признаков запуска в эмуляторах/виртуальных средах и антивиртуализационных индикаторов, а также реагировать на подозрительные попытки скрыть следы (удаление записей о надстройках и т.п.).

Вывод

CABINETRAT демонстрирует хорошо продуманную комбинацию техники доставки через легитимный механизм Excel и множества механизмов закрепления и уклонения. Для защиты организаций критично усилить контроль за поведением офисных приложений, централизованно управлять политиками загрузки надстроек и оперативно реагировать на аномалии в автозапуске, реестре и запланированных задачах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CABINETRAT: XLL-надстройки, устойчивость и шпионаж в Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Гаджеты и электроника
Смартфоны
Найти тему
Игровые консоли
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Социальные сети и мессенджеры
Технологии будущего
Кибербезопасность
IT (информационные технологии)
Умные часы
Камеры и фототехника
Графические планшеты
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Кибербезопасность
25,6 тыс интересуются