KIEW / LONDON (IT BOLTWISE) – Die Ukraine sieht sich einer neuen Cyberbedrohung gegenüber, die durch den Einsatz des CABINETRAT-Backdoors verstärkt wird. Diese Bedrohung nutzt XLL-Add-ins, die über die Signal-App verbreitet werden, um gezielte Angriffe durchzuführen.

 Heutige Tagesdeals bei Amazon!  ˗ˋˏ$ˎˊ˗

In der Ukraine hat das Computer Emergency Response Team (CERT-UA) vor einer neuen Welle gezielter Cyberangriffe gewarnt, die durch den Einsatz eines Backdoors namens CABINETRAT ermöglicht werden. Diese Bedrohung wurde erstmals im September 2025 identifiziert und wird einer Bedrohungsgruppe zugeordnet, die als UAC-0245 bekannt ist. Die Angreifer nutzen XLL-Dateien, die als Microsoft Excel-Add-ins fungieren, um die Funktionalität von Excel zu erweitern und gleichzeitig schädliche Aktivitäten zu verbergen.

Die Verbreitung dieser XLL-Dateien erfolgt über ZIP-Archive, die auf der Signal-Messaging-App geteilt werden. Diese Archive sind als Dokumente getarnt, die sich mit der Festnahme von Personen befassen, die versucht haben, die ukrainische Grenze zu überqueren. Sobald die XLL-Datei ausgeführt wird, erstellt sie mehrere ausführbare Dateien auf dem kompromittierten Host, darunter eine EXE-Datei im Startup-Ordner und eine XLL-Datei im Verzeichnis „%APPDATA%MicrosoftExcelXLSTART“.

Um die Persistenz der schädlichen Software sicherzustellen, werden Änderungen an der Windows-Registrierung vorgenommen. Anschließend wird die Excel-Anwendung im versteckten Modus gestartet, um das XLL-Add-in auszuführen. Der Hauptzweck des XLL-Add-ins besteht darin, Shellcode aus einer PNG-Datei zu extrahieren, der als CABINETRAT klassifiziert ist. Dieser Shellcode enthält verschiedene Anti-VM- und Anti-Analyse-Techniken, um eine Erkennung zu vermeiden.

Das CABINETRAT-Backdoor, das in der Programmiersprache C geschrieben ist, ist darauf ausgelegt, Systeminformationen zu sammeln, eine Liste installierter Programme zu erstellen, Screenshots zu machen und Verzeichnisinhalte aufzulisten. Es kann auch spezifische Dateien oder Verzeichnisse löschen, Befehle ausführen und Dateien hoch- oder herunterladen. Die Kommunikation mit einem entfernten Server erfolgt über eine TCP-Verbindung.

Diese Enthüllung erfolgt nur wenige Tage, nachdem Fortinet FortiGuard Labs vor Angriffen gewarnt hat, die die Ukraine ins Visier nehmen, indem sie die Nationale Polizei der Ukraine in einer fileless Phishing-Kampagne imitieren. Diese Kampagne zielt darauf ab, sensible Daten zu stehlen und Kryptowährungen von den angegriffenen Systemen zu schürfen.

*Amazon-Kreditkarte ohne Jahresgebühr mit 2.000 Euro Verfügungsrahmen bestellen! a‿z

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

Hat Ihnen der Artikel bzw. die News - Ukraine warnt vor neuer Cyberbedrohung durch CABINETRAT - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise

Unseren KI-Morning-Newsletter «Der KI
News Espresso» mit den besten KI-News des letzten Tages gratis per eMail – ohne Werbung:
Hier kostenlos eintragen!


Ukraine warnt vor neuer Cyberbedrohung durch CABINETRAT
Ukraine warnt vor neuer Cyberbedrohung durch CABINETRAT (Foto: DALL-E, IT BOLTWISE)

Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: „Ukraine warnt vor neuer Cyberbedrohung durch CABINETRAT“.