Source: https://thehackernews.com/2025/10/ukraine-warns-of-cabinetrat-backdoor.html
🛡 概要
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、CABINETRATと呼ばれるバックドアを使用した新たな標的型サイバー攻撃について警告しています。この攻撃は2025年9月に観測され、UAC-0245という脅威グループに関連付けられています。攻撃の手法として、Microsoft Excelの機能を拡張するXLLファイルがZIPアーカイブ内に隠され、Signalメッセージングアプリを介して配布されていることが発表されました。これらのファイルは、ウクライナ国境を越えようとした個人の拘束に関する文書として偽装されています。
🔍 技術詳細
調査の結果、XLLファイルは実行されると、コンピュータ内に複数の実行ファイルを作成します。具体的には、スタートアップフォルダ内にEXEファイルを、”%APPDATA%\Microsoft\Excel\XLSTART\”ディレクトリに”BasicExcelMath.xll”という名前のXLLファイルを、さらに”Office.png”というPNG画像を作成します。レジストリの変更により、実行ファイルの永続性が確保され、その後Excelアプリケーションが隠れたモードで起動され、XLLアドインが実行されます。XLLの主な目的は、PNGファイルからCABINETRATとして分類されるシェルコードを解析し抽出することです。このペイロードは、少なくとも2つのプロセッサコアと3GB以上のRAMの存在を確認し、VMwareやVirtualBoxなどの仮想化ツールを検出することで、検出を回避するためのさまざまな手法を採用しています。
⚠ 影響
CABINETRATはC言語で書かれた本格的なバックドアであり、システム情報の収集、インストールされたプログラムのリスト、スクリーンショットの取得、ディレクトリ内容の列挙、特定のファイルやディレクトリの削除、コマンドの実行、ファイルのアップロードやダウンロードを行うことができます。このバックドアはTCP接続を介してリモートサーバーと通信し、攻撃者に対してシステムの完全な制御を提供します。また、Fortinet FortiGuard Labsの警告によれば、ウクライナを標的にした攻撃が続いており、ファイルレスフィッシングキャンペーンを通じて、Amatera StealerやPureMinerといったマルウェアが配布されています。
🛠 対策
このような攻撃から身を守るためには、信頼できるセキュリティソフトウェアを使用し、定期的にシステムをスキャンすることが重要です。また、未知のソースからのファイルやリンクを開かないこと、特にメッセージングアプリを介して送信されたZIPファイルには注意が必要です。さらに、システムやソフトウェアの定期的なアップデートを行うことで、既知の脆弱性を悪用されるリスクを軽減できます。特に、XLLファイルの実行に関しては、信頼できるアドインのみを使用するよう心掛けることが、セキュリティ強化に寄与します。
