Selon Picus Security, CABINETRAT est un malware Windows utilisé dans des campagnes d’espionnage et financières, attribuées aux opérations UAC-0245, visant principalement des organisations ukrainiennes, notamment dans les secteurs gouvernementaux et télécoms. L’objectif est de maintenir un accès durable pour la surveillance et l’exfiltration de données.
Le vecteur initial s’appuie sur des fichiers XLL Excel malveillants se faisant passer pour des documents légitimes, permettant l’exécution de shellcode. La persistance est assurée via plusieurs mécanismes: clés de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), dossier Démarrage et tâches planifiées.
Le malware intègre de nombreuses techniques d’évasion et de détection d’environnement: vérifications par WMI (mémoire physique, nombre de cœurs), détection de Wine via exports de Kernel32.dll, inspection du flag BeingDebugged dans le PEB, et détection de VM par l’énumération des affichages. Il nettoie aussi le registre des compléments Excel désactivés pour masquer sa présence et contourner les défenses, avec des contrôles de sandbox et de debugger.
Les capacités de découverte incluent des requêtes registre pour les chemins d’Excel, des vérifications de privilèges via SID, et l’énumération de l’usage disque. Côté collecte, il peut réaliser des captures d’écran via des binaires .NET. L’ensemble vise un accès persistant avec évasion défensive et surveillance continue.
TTPs observés:
- Exécution: fichiers XLL Excel exécutant du shellcode; injection de processus mentionnée.
- Persistance: Run keys, Startup folder, tâches planifiées.
- Évasion/détection: WMI (TotalPhysicalMemory, NumberOfCores), détection Wine (exports Kernel32.dll), PEB BeingDebugged, détection VM (énumération des affichages), nettoyage des add-ins Excel désactivés.
- Découverte/Reconnaissance: requêtes registre (chemins Excel), vérifications SID (privilèges), usage disque.
- Collection: captures d’écran via .NET.
Il s’agit d’une analyse de menace présentant les tactiques, techniques et objectifs de CABINETRAT dans le cadre de campagnes ciblées.
🧠 TTPs et IOCs détectés
TTPs
Execution: XLL Excel files executing shellcode; process injection. Persistence: Run keys, Startup folder, scheduled tasks. Evasion/Detection: WMI (TotalPhysicalMemory, NumberOfCores), Wine detection (Kernel32.dll exports), PEB BeingDebugged, VM detection (display enumeration), cleaning disabled Excel add-ins. Discovery/Reconnaissance: Registry queries (Excel paths), SID checks (privileges), disk usage. Collection: Screenshots via .NET.
IOCs
No specific IOC (hash, domain, IP) provided in the analysis.
🔗 Source originale : https://www.picussecurity.com/resource/blog/cabinetrat-malware-windows-targeted-campaign-explained