Código HTML do Conteúdo
Post: CERT-UA avisa que UAC-0245 tem como alvo a Ucrânia com backdoor CABINETRAT
<div>
<div>
<h2>CERT-UA avisa que UAC-0245 tem como alvo a Ucrânia com backdoor CABINETRAT</h2>
<h2>O CERT-UA avisa que o UAC-0245 tem como alvo a Ucrânia com o backdoor CABINETRAT por meio de suplementos maliciosos do Excel XLL detectados em setembro de 2025.</h2>
<p>A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos do grupo UAC-0245 usando o backdoor CABINETRAT. A campanha, vista em setembro de 2025, envolvia suplementos maliciosos do Excel XLL que se passavam por ferramentas de software (por exemplo, “UBD Request.xll”, “recept_ruslana_nekitenko.xll”).</p>
<p>Os arquivos são executáveis (PE, Portable excutable) que podem ser carregados pelo Excel Add-in Manager usando o procedimento (função exportada) “xlAutoOpen”.</p>
<p>Os indivíduos visados relataram que os invasores tentaram espalhar o arquivo malicioso “500.zip” via Signal, disfarçando-o como um documento de detenção de fronteira na Ucrânia.</p>
<p><em>“Posteriormente, foi recebida uma mensagem dos participantes da troca de informações sobre a gravação de uma tentativa de distribuir o arquivo “500.zip” usando o Signal sob o disfarce de um documento sobre a detenção de pessoas que tentavam cruzar a fronteira do estado da Ucrânia.” lê-se no <a href="https://cert.gov.ua/article/6285549" target="_blank">relatório</a> publicado pelo CERT-UA.</em></p>
<p>Quando iniciado, o XLL solta um EXE na pasta de inicialização, um XLL chamado “BasicExcelMath.xll” em %APPDATA% e um PNG chamado “Office.png”. Em seguida, ele modifica o Registro do Windows para manter a persistência, inicia o Excel no modo oculto e executa o suplemento XLL. O XLL extrai e executa o código shell CABINETRAT do arquivo PNG.</p>
<p>A carga útil XLL e seu código shell incluem verificações anti-análise. Eles verificam a presença de pelo menos dois núcleos de CPU e 3 GB de RAM e plataformas de virtualização (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V), para evitar a detecção. Eles também verificam se o SID do usuário não termina com “500”; e verifique o sinalizador de depuração PEB.</p>
<p>“Considerando a novidade de táticas, técnicas e procedimentos, e não levando em conta os casos conhecidos de uso de arquivos XLL em ataques cibernéticos direcionados realizados pelo <a href="https://securityaffairs.com/172139/apt/cert-ua-warns-russia-uac-0125-abuses-cloudflare-workers.html" target="_blank">UAC-0002</a> grupo, em particular, contra instalações de infraestrutura crítica na Ucrânia, um identificador separado UAC-0245 foi criado para rastrear a atividade descrita.” continua o relatório.</p>
<p>CABINETRAT é uma ferramenta de código shell escrita em C que reúne dados do sistema operacional e do programa instalado. O código malicioso executa comandos, manipula arquivos, faz capturas de tela e se conecta a um C2 sobre TCP. Ele primeiro sonda as portas 18700, 42831, 20046 e 33976 (tipo porta).</p>
<p>A maioria das mensagens é compactada com MSZIP e dividida se for muito grande. Principais tipos de mensagens:</p>
<ul>
<li><strong>0</strong>: aperto de mão (“Ninja” → servidor responde “Bonjour”)</li>
<li><strong>1</strong>: executar um programa e enviar resultados</li>
<li><strong>2</strong>: saída do comando send</li>
<li><strong>4</strong>: enviar um arquivo solicitado para o servidor (exfiltrar)</li>
<li><strong>5</strong>: receber e salvar um arquivo do servidor</li>
<li><strong>6</strong>: enviar GUIDs do BIOS após o handshake</li>
<li><strong>7</strong>: enviar informações da versão do sistema operacional (do registro do Windows)</li>
<li><strong>8</strong>: relatar discos conectados</li>
<li><strong>9</strong>: Listar programas instalados (chaves de desinstalação do registro)</li>
<li><strong>10</strong>: listar conteúdo do diretório (caminho + máscara de pesquisa)</li>
<li><strong>11</strong>: tire e envie uma captura de tela</li>
<li><strong>12</strong>: enviar um código de erro</li>
<li><strong>13</strong>: excluir um arquivo ou pasta</li>
</ul>
<p>Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a></p>
<p><a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a></p>
<p>(<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Segurança</a>–hacking,Ucrânia)</p>
<hr>
<hr>
</div></div>