У вересні 2025 року команда CERT-UA виявила низку підозрілих програмних засобів, представлених у вигляді XLL-файлів. Ці файли, зокрема з назвами «Звернення УБД.xll» та «recept_ruslana_nekitenko.xll», є виконуваними та можуть завантажуватися через менеджер доповнень Excel за допомогою експортованої функції «xlAutoOpen». Подальший аналіз підтвердив, що ці файли використовуються групою UAC-0245 для проведення цільових кібератак на українські організації.
Виявлені XLL-файли є Portable Executable (PE) файлами, що дозволяє їм виконувати код на ураженій системі. Механізм завантаження через Excel Add-in Manager є типовим для прихованого розгортання шкідливого програмного забезпечення. Після успішного виконання, ці файли розгортають бекдор CABINETRAT. Цей бекдор надає зловмисникам можливість віддаленого доступу до системи, збору конфіденційної інформації та подальшого розширення присутності в мережі жертви.
Цілеспрямовані кібератаки, що проводяться групою UAC-0245 з використанням бекдору CABINETRAT, становлять значну загрозу для державних установ, оборонних підприємств та інших критично важливих інфраструктур України. Використання XLL-файлів, що імітують легітимні документи, дозволяє зловмисникам обходити стандартні засоби захисту та вводити в оману користувачів, що робить атаки особливо небезпечними.
Для мінімізації ризиків від подібних атак CERT-UA рекомендує організаціям вжити наступних заходів:
- Посилити контроль за використанням та завантаженням файлів, особливо з невідомих джерел.
- Регулярно оновлювати антивірусне програмне забезпечення та системи виявлення вторгнень.
- Проводити тренінги для персоналу щодо розпізнавання фішингових листів та підозрілих файлів.
- Обмежити права доступу користувачів до критично важливих даних та систем.
- Впровадити багатофакторну автентифікацію для доступу до корпоративних ресурсів.