Національна команда реагування на кіберінциденти CERT-UA зафіксувала у вересні 2025 року нову хвилю цільових кібератак. Ці атаки спрямовані проти Суб'єктів Оборонного Управління (СОУ) України. За виявленням CERT-UA стоїть активність відомого угруповання UAC-0245, яке застосовує раніше невідомий бекдор під назвою CABINETRAT. Ця кампанія є черговим свідченням постійних спроб компрометації критично важливих державних структур.
Первинний вектор зараження полягає у використанні спеціально створених XLL-файлів. Ці файли, по суті, є динамічними бібліотеками (DLL), скомпільованими для використання як надбудови (add-ins) у Microsoft Excel. CERT-UA виявила їх під такими іменами, як "Звернення УБД.xll" та "recept_ruslana_nekitenko.xll", що свідчить про спробу соціальної інженерії та маскування під офіційні або особисті документи.
При відкритті такого XLL-файлу в Excel, він може бути автоматично завантажений через механізм Add-in Manager, використовуючи експортовану функцію xlAutoOpen. Це дозволяє шкідливому коду виконуватися без додаткового втручання користувача, окрім відкриття файлу.
Після успішного завантаження, XLL-файл розгортає бекдор CABINETRAT. Цей бекдор надає зловмисникам віддалений контроль над скомпрометованою системою, дозволяючи їм виконувати різноманітні шкідливі дії, такі як збір даних, виконання команд, завантаження додаткових шкідливих програм та підтримка постійного доступу.
Основною мішенню цієї кампанії є Суб'єкти Оборонного Управління (СОУ) України. Це включає державні установи, військові підрозділи та організації, що входять до сектору безпеки та оборони. Однак, з огляду на характер кібератак UAC-0245, ризику піддаються також інші державні організації, критична інфраструктура та підприємства, що мають стратегічне значення для України. Будь-яка організація, яка обробляє конфіденційну інформацію або має доступ до критичних систем, повинна бути пильною.
Для мінімізації ризиків зараження та успішної протидії атакам UAC-0245, CERT-UA надає наступні рекомендації:
- Обмеження виконання XLL-файлів: Заборонити або суворо обмежити відкриття XLL-файлів з неперевірених джерел. Налаштувати політики безпеки для Microsoft Excel, що блокують автоматичне виконання макросів та надбудов.
- Оновлення програмного забезпечення: Регулярно оновлювати операційні системи, офісні пакети та антивірусне програмне забезпечення до останніх версій.
- Навчання користувачів: Проводити тренінги з кібергігієни для співробітників, акцентуючи увагу на небезпеці відкриття підозрілих вкладень та посилань, особливо тих, що мають незвичайні розширення файлів.
- Використання сучасних засобів захисту: Впровадити та ефективно використовувати EDR-рішення (Endpoint Detection and Response) та SIEM-системи для моніторингу та швидкого реагування на підозрілу активність.
- Резервне копіювання даних: Регулярно створювати резервні копії критично важливих даних та перевіряти їхню цілісність.
- Моніторинг мережевого трафіку: Відстежувати вихідні з'єднання з корпоративної мережі на предмет підозрілої активності, що може свідчити про зв'язок з командно-контрольними серверами бекдора.