Programari maliciós BEARDSHELL
L'Equip de Resposta a Emergències Informàtiques d'Ucraïna (CERT-UA) ha emès un avís sobre una nova campanya de ciberatacs orquestrada per APT28, un grup d'amenaces vinculat a Rússia i també conegut com a UAC-0001. Aquesta operació utilitza missatges de xat de Signal per lliurar dues famílies de programari maliciós recentment identificades, rastrejades com a BEARDSHELL i COVENANT, marcant una evolució notable en les tàctiques del grup.
Taula de continguts
BEARDSHELL i SLIMAGENT: Un duo perillós
BEARDSHELL, desenvolupat en C++, es va detectar per primera vegada entre març i abril de 2024, implementat en un sistema Windows juntament amb una eina de captura de captures de pantalla anomenada SLIMAGENT. Les capacitats de BEARDSHELL inclouen l'execució de scripts de PowerShell i la càrrega del resultat a un servidor remot mitjançant l'API d'Icedrive.
En el moment de la detecció inicial, el CERT-UA no tenia clar com el programari maliciós s'havia infiltrat al sistema. Tanmateix, troballes recents, provocades per un accés no autoritzat a un compte de correu electrònic 'gov.ua', han revelat el vector d'atac inicial utilitzat en l'incident del 2024. Aquesta investigació més profunda va confirmar el desplegament tant de BEARDSHELL com d'un marc de programari maliciós conegut com a COVENANT.
Cadena d’infecció: documents amb macros i càrregues útils DLL
L'atac comença amb un missatge de Signal que conté un document de Microsoft Word maliciós titulat "Акт.doc". Aquest document inclou una macro incrustada que, un cop activada, proporciona dos components:
- Una DLL maliciosa: ctec.dll
- Una imatge PNG disfressada: windows.png
La macro fa canvis al Registre de Windows per garantir que la DLL s'executi quan s'iniciï explorer.exe. Aquesta DLL llegeix el codi shell ocult a la imatge PNG i activa el marc de programari maliciós COVENANT, que resideix a la memòria.
Després de l'activació, COVENANT procedeix a descarregar i executar dues càrregues útils intermèdies que finalment instal·len la porta del darrere BEARDSHELL, atorgant un control persistent sobre el sistema infectat.
COVENANT: Marc de treball sofisticat contra programari maliciós en acció
El marc de treball COVENANT juga un paper central en aquesta operació, actuant com a centre d'execució per a programari maliciós addicional. El seu disseny modular permet el desplegament flexible de càrregues útils, que en aquest cas condueixen directament a l'execució de BEARDSHELL. Aquest marc de treball resident a la memòria evadeix els mecanismes de detecció tradicionals, cosa que el fa particularment perillós per a entorns específics.
Recomanacions de seguiment i mitigació
Per reduir l'exposició a aquesta campanya, el CERT-UA aconsella a les xarxes governamentals i empresarials que controlin el trànsit associat amb els dominis següents:
- app.koofr.net
- api.icedrive.net
Estar atent a les connexions sortints a aquests dominis podria ajudar a detectar signes precoços de compromís.
Conclusió: Amenaces persistents i en evolució
APT28 continua refinant les seves tècniques d'atac, incorporant plataformes de missatgeria modernes com Signal i combinant-les amb vulnerabilitats de sistemes antics. Aquest enfocament dual, que utilitza tant programari maliciós recentment desenvolupat com exploits coneguts, subratlla la persistència del grup i la importància de les defenses de ciberseguretat per capes. Les organitzacions, especialment les agències governamentals, han d'estar alerta i supervisar proactivament el trànsit de xarxa per detectar indicadors de compromís.
