Зловреден софтуер BEARDSHELL
Екипът за реагиране при компютърни аварии на Украйна (CERT-UA) издаде предупреждение за нова кибератака, организирана от APT28, група за кибератаки, свързана с Русия и известна още като UAC-0001. Тази операция използва чат съобщения в Signal, за да достави две новоидентифицирани семейства зловреден софтуер, проследени като BEARDSHELL и COVENANT, което отбелязва забележителна еволюция в тактиките на групата.
Съдържание
BEARDSHELL и SLIMAGENT: Опасен дует
BEARDSHELL, разработен на C++, е открит за първи път между март и април 2024 г., внедрен в Windows система заедно с инструмент за заснемане на екранни снимки, наречен SLIMAGENT. Възможностите на BEARDSHELL включват изпълнение на PowerShell скриптове и качване на получения резултат на отдалечен сървър, използвайки Icedrive API.
Към момента на първоначалното откриване, CERT-UA нямаше яснота относно начина, по който зловредният софтуер е проникнал в системата. Въпреки това, скорошни открития, предизвикани от неоторизиран достъп до имейл акаунт „gov.ua“, разкриха първоначалния вектор на атака, използван при инцидента през 2024 г. Това по-задълбочено разследване потвърди внедряването както на BEARDSHELL, така и на рамка за злонамерен софтуер, известна като COVENANT.
Верига на заразяване: Документи, свързани с макроси, и DLL полезни товари
Атаката започва със съобщение в Signal, съдържащо злонамерен документ на Microsoft Word, озаглавен „Акт.doc“. Този документ включва вграден макрос, който след активиране предоставя два компонента:
- Злонамерен DLL файл: ctec.dll
- Прикрито PNG изображение: windows.png
След това макросът прави промени в системния регистър на Windows, за да гарантира, че DLL файлът ще се изпълни при следващото стартиране на explorer.exe. Този DLL файл чете шелкод, скрит в PNG изображението, и задейства зловредната програма COVENANT, която се намира в паметта.
След активирането, COVENANT изтегля и изпълнява два междинни полезни натоварвания, които в крайна сметка инсталират задната вратичка BEARDSHELL, предоставяйки постоянен контрол над заразената система.
ЗАВЕТ: Усъвършенствана рамка за зловреден софтуер в действие
Рамката COVENANT играе централна роля в тази операция, действайки като център за изпълнение на допълнителен зловреден софтуер. Модулният ѝ дизайн позволява гъвкаво разполагане на полезни товари, в този случай водещо директно до изпълнението на BEARDSHELL. Тази резидентна в паметта рамка избягва традиционните механизми за откриване, което я прави особено опасна за целевите среди.
Препоръки за мониторинг и смекчаване на последиците
За да се намали излагането на тази кампания, CERT-UA съветва правителствените и корпоративните мрежи да наблюдават трафика, свързан със следните домейни:
- app.koofr.net
- api.icedrive.net
Бдителността относно изходящите връзки към тези домейни може да помогне за откриване на ранни признаци на компрометиране.
Заключение: Постоянни и развиващи се заплахи
APT28 продължава да усъвършенства техниките си за атака, като включва съвременни платформи за съобщения като Signal и ги комбинира с уязвимости в наследени системи. Този двустранен подход, използващ както новоразработен зловреден софтуер, така и известни експлойти, подчертава упоритостта на групата и важността на многопластовите защити в киберсигурността. Организациите, особено правителствените агенции, трябва да бъдат нащрек и проактивно да наблюдават мрежовия трафик за индикатори за компрометиране.
