CABINETRAT Backdoor
情報セキュリティ研究者は、2025年9月に観測された標的型攻撃キャンペーンに関する警告を発表しました。このキャンペーンは、CABINETRATとして追跡されているC言語のバックドアをインストールするものでした。ウクライナのコンピュータ緊急対応チーム(CERT-UA)によると、この攻撃チェーンで使用された武器化されたMicrosoft Excelアドイン(XLLファイル)がアナリストによって発見されたことを受け、この活動は追跡対象クラスター(UAC-0245)に起因するものとされています。
目次
ZIPファイルと偽の警察文書
報道によると、攻撃者は悪意のあるXLLファイルをZIPアーカイブに封入し、ウクライナ国境での拘留に関する文書を装ってSignalメッセージングアプリ経由で配布した。被害者がXLLファイルを解凍して開くと、ドロップシーケンスが開始される。
ドロッパーが作り出すもの
侵害されたシステムでは、次のような複数のファイルが生成されています。
- Windowsのスタートアップフォルダに配置されたEXE
- %APPDATA%\Microsoft\Excel\XLSTART\ にある BasicExcelMath.xll という名前の XLL
- シェルコードが埋め込まれたOffice.pngという名前のPNG
これらのファイルは、永続性とペイロードのステージングの一部としてホスト上に作成されます。
ペイロードの起動方法
埋め込まれたXLLは、起動時にEXEが実行されるようにレジストリエントリを設定し、Excel(excel.exe)を/e(埋め込み)スイッチ付きで隠しモードで起動することで、アドインがサイレントモードで読み込まれるようにします。読み込まれたXLLは、付随するPNG画像内に隠されたシェルコードを抽出します。このシェルコードがCABINETRATインプラントです。Microsoftのガイダンスでは、信頼できないXLLアドインは脅威アクターによって悪用されることが多く、最新のExcelバージョンでは信頼できないXLLがデフォルトでブロックされていると指摘されていますが、ソーシャルエンジニアリングやユーザー承認によって実行されてしまう可能性があります。
分析対策とサンドボックス対策
XLLローダーとメモリ内シェルコードはどちらも、VM対策および分析対策のチェックを実行します。サンプルで確認された例としては、CPUコアが少なくとも2つあることの確認、RAMが最低3GBあることの確認、仮想化または分析アーティファクト(VMware、VirtualBox、Xen、QEMU、Parallels、Hyper-V)の探索などが挙げられます。これらのチェックは、ラボ/サンドボックス環境での動作を中止または変更し、検出の可能性を低減することを目的としています。
CABINETRATの悪意ある能力
CABINETRATはC言語で記述された完全なバックドアです。システム列挙(OSおよびハードウェア情報)、インストール済みアプリケーションの一覧表示、スクリーンショットの取得、ディレクトリ列挙、指定されたファイルまたはフォルダの削除、任意のコマンドの実行、ファイルのアップロード/ダウンロードなどの機能が文書化されています。ネットワーク通信はTCPチャネルを介してリモートのコマンドアンドコントロール(C2)インフラストラクチャと行われ、これによりオペレーターは感染ホストと対話することが可能になります。
ウクライナに対する同様のキャンペーン
今回の暴露は、ウクライナの組織を標的とした他の高度に標的を絞った攻撃キャンペーンに続くものです。研究者らは最近、ウクライナ国家警察を装い、Amatera Stealer(データ窃盗)やPureMiner(暗号通貨マイニング)などのペイロードを配信する別のファイルレスフィッシング攻撃を報告しており、この地域の組織に対して複数のベクトルとマルウェアファミリーが並行して使用されていることを示しています。
監視、隔離、修復
このキャンペーンの積極的かつ標的を絞った性質と、攻撃者の分析回避戦術を考慮すると、防御側はSignalで配信されたOfficeアドインを含む疑わしいアーカイブは、潜在的に悪意のあるものであると想定する必要があります。疑わしいホストの封じ込めを優先し、揮発性のアーティファクト(プロセスリスト、メモリ、ネットワーク接続)を収集し、確認された兆候をCERT-UAまたは地域のCSIRTと共有することで、攻撃者の活動のマッピングと阻止に役立ててください。
