Cảnh báo khẩn: Tấn công mạng nguy hiểm với mã độc CABINETRAT

02/10/2025
4 mins read
Cảnh báo khẩn: Tấn công mạng nguy hiểm với mã độc CABINETRAT

Đội ứng phó sự cố an ninh mạng quốc gia Ukraine, CERT-UA, đã phát đi cảnh báo khẩn cấp về một chiến dịch mã độc mới. Chiến dịch này sử dụng các tệp tin Excel add-in (XLL) được vũ khí hóa để triển khai backdoor CABINETRAT, đánh dấu một tấn công mạng tinh vi nhắm vào các hệ thống mục tiêu.

Nội dung
Chiến Thuật Khai Thác XLL và Cơ Chế Lây Nhiễm
Mở Rộng Phạm Vi Tấn Công Qua Lưu Trữ ZIP
Cơ Chế Duy Trì Quyền Truy Cập và Thực Thi
Kiểm Tra Đường Dẫn Excel và Vô Hiệu Hóa Hạn Chế
Hoạt Động của Backdoor CABINETRAT
Tính Năng và Giao Thức Mạng của CABINETRAT
Các Kiểu Gói Dữ Liệu Hỗ Trợ
Kỹ Thuật Chống Phân Tích và Tránh Phát Hiện
Chi Tiết Các Biện Pháp Tránh Phát Hiện
Mã Định Danh Mối Đe Dọa và Chỉ Báo Thỏa Hiệp (IOCs)
Danh Sách IOCs
Các Biện Pháp Phòng Ngừa và Bảo Vệ Hệ Thống
Khuyến Nghị Bảo Mật

Chiến Thuật Khai Thác XLL và Cơ Chế Lây Nhiễm

Trong suốt tháng 9 năm 2025, các nhà phân tích của CERT-UA đã phát hiện nhiều tệp XLL độc hại giả mạo thành các tài liệu thông thường. Các tên tệp như “Звернення УБД.xll” và “recept_ruslana_nekitenko.xll” đã được sử dụng.

Những tệp này khai thác Trình quản lý Add-in của Excel và hàm xuất xlAutoOpen để đạt được quyền thực thi trên các hệ thống bị nhắm mục tiêu.

Mở Rộng Phạm Vi Tấn Công Qua Lưu Trữ ZIP

Chiến dịch tấn công mạng này đã mở rộng ra ngoài các hình thức lừa đảo qua email ban đầu. Thông tin tình báo được chia sẻ qua Signal (xem chi tiết tại CERT-UA) tiết lộ rằng, những kẻ tấn công đã phát tán một kho lưu trữ ZIP có tên “500.zip”.

Tệp này được ngụy trang dưới dạng tài liệu chi tiết về các vụ bắt giữ tại biên giới Ukraine. Bên trong kho lưu trữ này là “dodatok.xll”, một add-in độc hại.

Khi được tải, add-in này sẽ thả một số payload xuống máy tính nạn nhân, bao gồm:

  • Một tệp thực thi Windows (EXE) độc hại được tìm thấy trong thư mục %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup hoặc %APPDATA%\Microsoft\Windows\Templates.
  • Một tệp hình ảnh (PNG) chứa shellcode mã hóa.
  • Một tệp XLL thứ cấp có tên “BasicExcelMath.xll” (được giả mạo là tệp bổ trợ hợp pháp).

Cơ Chế Duy Trì Quyền Truy Cập và Thực Thi

Để đảm bảo khả năng duy trì quyền truy cập (persistence), mã độc tạo một khóa registry ngẫu nhiên trong HKCU\…\Run. Khóa này giúp thực thi mã độc mỗi khi hệ thống khởi động.

Bên cạnh đó, nó còn lên lịch một tác vụ hàng giờ với tên ngẫu nhiên, chạy tệp thực thi đã thả với các đặc quyền hạn chế.

Kiểm Tra Đường Dẫn Excel và Vô Hiệu Hóa Hạn Chế

Mã độc cũng xác minh đường dẫn Excel qua HKLM\…\App Paths\EXCEL.EXE. Đồng thời, nó xóa các mục nhập trong nhánh registry DisabledItems cho các phiên bản Office 14.0, 15.016.0.

Hành động này nhằm vô hiệu hóa các hạn chế thực thi add-in hoặc macro, đảm bảo quá trình lây nhiễm diễn ra suôn sẻ và hiệu quả, đây là một điểm quan trọng trong chiến dịch tấn công mạng này.

Hoạt Động của Backdoor CABINETRAT

Khi nạn nhân khởi chạy Excel với tham số /e (embed), tệp “BasicExcelMath.xll” tự động tải mà không hiển thị một sổ làm việc mới nào. Nó đọc tệp “Office.png”, định vị và giải mã shellcode được nhúng.

Sau đó, nó gọi shellcode này bằng cách sử dụng các hàm VirtualProtectCreateThread. Các nhà phân tích của CERT-UA đã xác nhận shellcode này chính là backdoor CABINETRAT.

Tính Năng và Giao Thức Mạng của CABINETRAT

CABINETRAT là một backdoor đầy đủ tính năng được viết bằng C, hỗ trợ nhiều chức năng độc hại:

  • Thu thập thông tin hệ thống
  • Thực thi lệnh từ xa (remote command execution)
  • Thao tác tệp (đọc, ghi, xóa)
  • Chụp ảnh màn hình (screenshot capture)
  • Giao tiếp TCP với máy chủ điều khiển (C2)

Giao thức mạng của CABINETRAT tương tự như port knocking. Nó cố gắng kết nối trên các cổng 18700, 42831, 2004633976 trước khi thiết lập kênh TCP chính.

Sau khi kết nối, nó trao đổi các gói INIT (“Ninja”/“Bonjour”), nén dữ liệu bằng MSZIP qua Windows Compression API và phân mảnh các payload vượt quá 65.535 byte.

Các Kiểu Gói Dữ Liệu Hỗ Trợ

Các kiểu gói của CABINETRAT hỗ trợ nhiều hoạt động, cho phép kẻ tấn công kiểm soát toàn diện hệ thống bị xâm nhập. Đây là một mối đe dọa mạng đáng kể:

  • Thực thi chương trình từ xa
  • Rút trích đầu ra lệnh
  • Truyền tệp
  • Báo cáo BIOS GUID
  • Liệt kê registry và ổ đĩa
  • Liệt kê các chương trình đã cài đặt
  • Liệt kê thư mục
  • Chụp ảnh màn hình
  • Báo cáo lỗi
  • Xóa tệp

Kỹ Thuật Chống Phân Tích và Tránh Phát Hiện

Để tránh bị phát hiện và cản trở việc phân tích, tất cả các thành phần XLLshellcode đều triển khai các kiểm tra anti-VM (máy ảo)anti-analysis (chống phân tích) mạnh mẽ.

Những kỹ thuật này làm cho việc nghiên cứu và gỡ lỗi mã độc trở nên khó khăn hơn, tăng cường hiệu quả của tấn công mạng.

Chi Tiết Các Biện Pháp Tránh Phát Hiện

Các biện pháp cụ thể bao gồm:

  • Xác minh sự vắng mặt của hàm wine_get_unix_file_name trong kernel32.dll.
  • Kiểm tra các bảng BIOS để tìm dấu hiệu của các nhà cung cấp ảo hóa (ví dụ: “VMware”, “VirtualBox”, “QEMU”).
  • Liệt kê các thiết bị hiển thị để tìm kiếm các tạo tác của hypervisor.
  • Kiểm tra ít nhất hai lõi CPU3 GB RAM.
  • Thực hiện các phép đo thời gian thực thi CPUID lặp đi lặp lại thông qua RDTSC.
  • Đảm bảo SID của người dùng hiện tại không kết thúc bằng “500”.
  • Kiểm tra cờ gỡ lỗi trong Khối Môi trường Quy trình (PEB – Process Environment Block).

Các chuỗi và mã cũng được làm tối nghĩa bằng cách sử dụng các bảng chỉ mục 32-bit tham chiếu đến các mảng dữ liệu ẩn, một kỹ thuật làm phức tạp quá trình đảo ngược kỹ thuật.

Mã Định Danh Mối Đe Dọa và Chỉ Báo Thỏa Hiệp (IOCs)

Với sự mới lạ trong các chiến thuật và kỹ thuật này, và xét đến các cuộc tấn công mạng dựa trên XLL trước đây của nhóm UAC-0002 nhắm vào cơ sở hạ tầng trọng yếu của Ukraine, CERT-UA đã gán một mã định danh mới: UAC-0245 để theo dõi chiến dịch này.

Các chỉ báo thỏa hiệp (Indicators of Compromise – IOCs) được trích xuất rõ ràng, giúp các tổ chức xác định và phản ứng với mối đe dọa mạng này:

Danh Sách IOCs

  • SHA-256 Hashes cho các tệp độc hại XLL, EXE, PNGZIP (hàng chục mã hash khác nhau).
  • Registry Keys được tạo ra để duy trì quyền truy cập (ví dụ: khóa ngẫu nhiên trong HKCU\…\Run).
  • Tên tác vụ đã lên lịch (Scheduled Task Names) được tạo ngẫu nhiên.
  • Đường dẫn tệp dưới %APPDATA%%LOCALAPPDATA%.
  • Địa chỉ IP của máy chủ điều khiển (C2):
    • 20[.]112.250.113 trên cổng 443
    • 20[.]70.246.20 trên cổng 433

Các Biện Pháp Phòng Ngừa và Bảo Vệ Hệ Thống

Các tổ chức và cá nhân được khuyến nghị thực hiện các biện pháp phòng ngừa cần thiết để củng cố bảo mật mạng và giảm thiểu rủi ro từ chiến dịch mã độc này. Đây là những hành động quan trọng để chống lại tấn công mạng.

Khuyến Nghị Bảo Mật

  • Chặn hoặc giám sát chặt chẽ việc tải các Excel add-in.
  • Kiểm tra kỹ lưỡng các tệp đính kèm ZIP đáng ngờ.
  • Áp dụng các quy tắc mạng để hạn chế lưu lượng truy cập đi đến các địa chỉ IP đã được ghi nhận.
  • Cập nhật thường xuyên các giải pháp bảo mật điểm cuối (endpoint security solutions) để phát hiện chữ ký của CABINETRAT.
  • Bật các hạn chế thực thi macro trong các ứng dụng Office.