近期乌克兰计算机应急响应小组 CERT-UA 发布预警,披露了一起以 XLL 类型的 Excel 插件为载体,通过 Signal 应用内分享的 ZIP 压缩包传播的定向攻击,最终部署名为 CABINETRAT 的全功能后门。此次事件暴露出攻击者在社会工程手段、持久化机制与反分析检测方面的综合运用,给企业与个人安全防护带来新的挑战。以下从攻击全貌、技术细节、检测与响应建议等角度进行全面解析,旨在帮助安全从业者与普通用户提高警觉并采取针对性防护措施。 攻击概述与传播手法 CERT-UA 在 2025 年 9 月监测到的这波活动被归属于其标注的威胁集群 UAC-0245。攻击者将 XLL 格式的恶意 Excel 插件打包在 ZIP 压缩文件内,通过 Signal 消息发送,假扮成一份与越境拘押相关的文档,以诱导目标下载并运行。XLL 是 Microsoft Excel 的原生扩展格式,能够被 Excel 加载并执行自定义函数与原生代码,因其合法性与较少被关注的特性,成为攻击者有效的滥用载体之一。
感染链呈现多个典型阶段:用户从 Signal 获取 ZIP 文件并解压后,启动其中的 XLL 插件;XLL 执行时在受害主机上生成多个文件,包括一个放置在 Startup 启动文件夹内的 EXE 可执行文件、一个复制到 %APPDATA%\Microsoft\Excel\XLSTART\ 的名为 BasicExcelMath.xll 的 XLL 文件,以及一个名为 Office.png 的 PNG 图片。XLL 会启动 Excel 进程(以 "excel.exe /e" 隐藏模式运行),在 Excel 环境中加载并执行 XLL 插件,插件进一步从 Office.png 中提取并解析嵌入的 shellcode,最终触发 CABINETRAT 后门的加载和运行。 技术细节与反分析策略 攻击载体的设计显示出明显的反分析与逃避检测能力。XLL 与内嵌 shellcode 均包含多项环境检测逻辑,用以辨识是否在虚拟化或分析环境中运行。常见的检测包括系统硬件资源判断,如检查处理器核心数是否不少于两个以及内存是否不少于 3GB;探测虚拟化或仿真平台相关进程与驱动痕迹,例如 VMware、VirtualBox、Xen、QEMU、Parallels 与 Hyper-V 等指纹信息。若检测到疑似分析环境,恶意逻辑通常会终止进一步执行或延迟动作以规避自动化分析。
将 shellcode 隐藏在 PNG 文件内并由 XLL 解析的手法,既能绕过简单的签名扫描,也能混淆静态分析路径。PNG 作为图像格式在企业通信中极为常见,不易引起怀疑,且二进制数据片段嵌入图像的方式在近年来频繁被滥用。XLL 负责对该图像进行解析与解码,将解密后的 shellcode 写入内存并触发执行,从而避免在磁盘上留下明显的恶意二进制文件轨迹。 CABINETRAT 后门能力与通信机制 CABINETRAT 是一个以 C 语言实现的完整后门,具备丰富的侦察与远控功能。其主要能力包括收集系统信息与已安装程序列表、截取屏幕截图、枚举目录与文件、删除指定文件或目录、执行命令以及上传和下载文件等。通信层使用基于 TCP 的连接方式,与远端命令与控制服务器建立会话以接收指令并回传窃取的数据。
由于其设计简洁且功能全面,CABINETRAT 可用于信息窃取、横向移动、持续化控制与后续更复杂的攻击载荷部署。 与其他近期活动的关联 CERT-UA 的通报时间与 Fortinet FortiGuard Labs 对乌克兰遭遇仿冒国家警察机构的无文件钓鱼活动的警告时间接近。后者的攻击行为通过无文件技术分发 Amatera Stealer(信息窃取)与 PureMiner(加密货币挖矿),表明针对乌克兰的网络威胁在不同战术与工具链上不断演化。将 CABINETRAT 嵌入 XLL,并通过 Signal 作为传播渠道,反映了攻击者在社会工程、即时通讯平台滥用与利用文档扩展功能上不断创新的倾向。 检测要点与事件响应线索 在面对 XLL 与 CABINETRAT 这样的复合性威胁时,检测策略应覆盖文件行为、进程行为、注册表与持久化机制以及异常网络通信等多维度。可作为排查起点的关键线索包括出现非典型的 XLL 文件被写入 %APPDATA%\Microsoft\Excel\XLSTART\ 目录,或看到名为 BasicExcelMath.xll 的可疑文件存在。
Startup 文件夹中新出现的可疑 EXE 文件,以及名为 Office.png 的图像文件出现在同一目录或与其它可疑文件同时出现,也值得重点关注。 监测到 excel.exe 以 "/e" 参数隐蔽启动的情形时应引起警惕,尤其是当 excel.exe 的父进程或调用链异常,或在 Excel 启动后观察到额外的进程写入、网络连接或内存注入活动时。对系统进行内存取证时,关注加载的 XLL 模块与内存中解码后的 shellcode 片段对确认感染非常重要。 网络层面的检测应侧重于识别异常的出站 TCP 连接,尤其是到罕见或与地理位置、域名注册信息不符的服务器。对异常的持续性心跳、文件上传下载请求或远端命令执行的特征流量设置告警,有助于尽早发现被控主机。 防御建议与最佳实践 阻断此类威胁需要结合技术和管理层面的措施。
第一层是降低用户误执行风险,通过强化即时通讯平台的文件分享策略、限制可执行扩展的直接打开权限,并对未经验证来源的压缩包与附件实施沙箱检测或隔离打开。对所有用户加强安全意识培训,提醒警惕以社会工程为核心的诱导信息,尤其是在涉及敏感主题如边境拘押或法律文书等情境下的文件分享。 从终端防护角度,应启用并维护端点检测与响应(EDR)工具,设置监控规则识别 Excel 加载异常插件、XLL 在非预期路径的出现以及 excel.exe 以异常参数或被注入内存的行为。利用应用白名单对关键终端实施控制,阻止未经授权的可执行文件在启动文件夹或 %APPDATA% 等常被滥用的位置运行。 网络控件方面,实施出站流量监控与限制,采用代理或防火墙对异常 TCP 端口与目标进行阻断。启用 TLS 深度检测(在合规允许范围内)以便识别隐藏在加密通道中的可疑通信模式。
企业邮件安全与即时通讯网关应对可疑压缩包与图像文件的深度扫描,加上对常见恶意文件名或签名的黑名单管理。 策略与权限管理同样关键,应最小化用户权限,尤其是对于可访问敏感数据或可执行代码的账户。定期清理与审计启动项、注册表自动运行项与 XLSTART 目录的内容,防止持久化机制长期隐藏。补丁管理与软件库存也应保持最新,以减少被已知漏洞利用的风险。 应急响应与取证建议 一旦怀疑受感染,应尽快隔离疑似主机以阻止横向传播,并在隔离环境中进行内存与磁盘取证。重点收集 Excel 相关进程的内存镜像、%APPDATA%\Microsoft\Excel\XLSTART\ 与 Startup 文件夹的文件快照、最近被访问或创建的 Office.png 等图像文件,以及网络连接日志与防火墙会话记录。
通过分析 Excel 进程加载的模块、内存中 XLL 内容与解码后的 shellcode,可确认是否存在 CABINETRAT 的加载痕迹。 将可疑文件与样本提交给多引擎沙箱或专业威胁情报团队进行深度分析,有助于提取网络指标(域名、IP、C2 端口等)和进一步的检测规则。若确认数据泄露或命令执行,应评估相关系统的横向影响面,检查凭据是否被窃取并考虑更换受影响账户的凭据与密钥。 对受影响网络进行清理与恢复时,确保移除所有持久化机制并修补被滥用的安全薄弱点。恢复前建议对所有关键系统执行彻底扫描与检测,验证无其他后门残留后再逐步恢复联机与生产环境。 对个人用户的实用建议 普通用户需警惕来自即时通讯应用的未知压缩包,避免直接打开来自不明或未验证联系人的 ZIP 文件。
若收到涉及敏感或情绪化内容的文件,先通过电话或其他独立渠道确认发送者身份。不要在未受信任的环境中启用或加载 Excel 插件,尤其是后缀为 XLL 的文件。保持操作系统、办公软件与安全软件的及时更新,并启用杀毒与实时保护功能。 结语 CABINETRAT 与通过 XLL 插件结合 Signal ZIP 传播的攻击再次提醒我们:攻击者善用合法文件格式与常用通信工具实施隐蔽传播,融合反分析与持久化技巧以延长在被害网络中的生存期。面对这类威胁,单一防御手段难以奏效,必须依靠多层次的防护策略与持续的威胁情报共享,从用户教育、终端防护、网络流量监测到快速应急响应形成闭环。对安全团队而言,关注 XLL 与 Excel 环境下的异常行为,及时处置可疑文件与网络连接,是遏制类似定向攻击的关键。
保持警觉、完善检测与快速响应将是降低此类威胁风险的最有效手段。 。
