概要:新たな脅威「CABINETRAT」の出現
ウクライナの国家サイバーインシデント対応チームCERT-UAは、Excelアドイン(XLL)ファイルを悪用して「CABINETRAT」バックドアを展開する新たなマルウェアキャンペーンについて緊急警告を発しました。この攻撃は、Excelの機能を悪用し、標的システム上で不正なコードを実行することを目的としています。
攻撃の手口:XLLファイルとZIPアーカイブ
2025年9月を通じて、CERT-UAのアナリストは、正規の文書を装った複数の悪意のあるXLLファイル(例:「Звернення УБД.xll」、「recept_ruslana_nekitenko.xll」)を発見しました。これらのファイルは、Excelの「アドインマネージャー」と「xlAutoOpen」エクスポート関数を悪用して実行権限を獲得します。
当初は電子メールによる誘導が主でしたが、攻撃は拡大しています。Signalを通じて共有された情報によると、攻撃者は「500.zip」という名前のZIPアーカイブを配布しました。これはウクライナ国境での逮捕に関する文書を装っており、このアーカイブ内には「dodatok.xll」という悪意のあるアドインが含まれていました。このアドインがロードされると、被害者のマシンに複数のペイロードがドロップされます。
- ランダムな名前の実行可能ファイル(内部名「runner.exe」)が、%APPDATA%\Microsoft\Office\とユーザーのスタートアップフォルダの両方に配置されます。
- ローダーXLLファイル「BasicExcelMath.xll」(内部名「loader.xll」)が、%APPDATA%\Microsoft\Excel\XLSTART\にインストールされます。
- CABINETRATシェルコードを含むPNG画像「Office.png」がドロップされます。
永続化と実行メカニズム
マルウェアは永続性を確保するために、HKCU\…\Runにランダムなレジストリキーを作成し、ランダムな名前で1時間ごとにタスクをスケジュールして、ドロップされた実行可能ファイルを制限された権限で実行します。また、HKLM\…\App Paths\EXCEL.EXEを介してExcelのパスを確認し、Officeバージョン14.0、15.0、16.0のDisabledItemsレジストリブランチのエントリをクリアします。
被害者がExcelを「/e」(埋め込み)パラメータで起動すると、「BasicExcelMath.xll」ファイルは新しいワークブックを表示せずに自動的にロードされます。このファイルは「Office.png」を読み込み、埋め込まれたシェルコードを特定して復号し、VirtualProtectとCreateThreadを使用してそれを呼び出します。
CABINETRATバックドアの機能
CERT-UAのアナリストは、このシェルコードがCABINETRATバックドアであることを確認しました。これはC言語で書かれたフル機能のマルウェアで、情報収集、コマンド実行、ファイル操作、スクリーンショットキャプチャ、TCP通信をサポートしています。
CABINETRATのネットワークプロトコルはポートノッキングに似ており、TCPチャネルを確立する前にポート18700、42831、20046、33976への接続を試みます。接続が確立されると、「Ninja」/「Bonjour」というINITパケットを交換し、Windows Compression APIを介してMSZIPを使用してデータを圧縮し、65,535バイトを超えるペイロードをフラグメント化します。
そのパケットタイプは、リモートプログラム実行、コマンド出力の外部送信、ファイル転送、BIOS GUIDレポート、レジストリおよびディスク列挙、インストール済みプログラムリスト、ディレクトリリスト、スクリーンショットキャプチャ、エラーレポート、ファイル削除をサポートしています。
検出回避と分析妨害の技術
検出を回避し、分析を妨害するために、すべてのXLLコンポーネントとシェルコードは堅牢なアンチVMおよびアンチ分析チェックを実装しています。
- kernel32.dll内のwine_get_unix_file_nameの不在を確認します。
- BIOSテーブルを検査して仮想化ベンダー(「VMware」、「VirtualBox」、「QEMU」など)を検出します。
- ハイパーバイザーのアーティファクトのためにディスプレイデバイスを列挙します。
- 少なくとも2つのCPUコアと3GBのRAMがあることを確認します。
- RDTSCを介して繰り返されるCPUID実行時間測定を実行します。
- 現在のユーザーのSIDが「500」で終わらないことを確認します。
- プロセス環境ブロック(PEB)のデバッグフラグをテストします。
文字列とコードは、隠されたデータ配列を参照する32ビットインデックステーブルで難読化されています。
UAC-0245:新たな脅威グループの識別
これらの戦術と技術の新規性、およびウクライナの重要インフラを標的としたUAC-0002脅威グループによる過去のXLLベースの攻撃を考慮し、CERT-UAはこのキャンペーンを追跡するためにUAC-0245という新しい識別子を割り当てました。
侵害の痕跡(IoC)
侵害の痕跡には、悪意のあるXLL、EXE、PNG、ZIPファイルの多数のSHA-256ハッシュ、レジストリキー、スケジュールされたタスク名、%APPDATA%および%LOCALAPPDATA%下のファイルパス、ならびにIPアドレス20[.]112.250.113および20[.]70.246.20(ポート443および433)が含まれます。
推奨される対策
組織および個人は、以下の対策を講じるよう強く推奨されます。
- Excelアドインのロードをブロックまたは厳密に監視する。
- 疑わしいZIP添付ファイルを検査する。
- 上記のIPアドレスへのアウトバウンドトラフィックを制限するネットワークルールを適用する。
- CABINETRATのシグネチャを検出するためにエンドポイントセキュリティソリューションを定期的に更新する。
- Officeアプリケーション内でマクロ実行制限を有効にする。