Malware BEARDSHELL
Ukrajinský tým pro reakci na počítačové nouzové situace (CERT-UA) vydal varování před novou kybernetickou útočnou kampaní organizovanou skupinou APT28, napojenou na Rusko a známou také jako UAC-0001. Tato operace využívá chatové zprávy Signalu k doručování dvou nově identifikovaných rodin malwaru, sledovaných jako BEARDSHELL a COVENANT, což představuje významný vývoj v taktice skupiny.
Obsah
BEARDSHELL a SLIMAGENT: Nebezpečné duo
BEARDSHELL, vyvinutý v C++, byl poprvé detekován mezi březnem a dubnem 2024 a byl nasazen na systému Windows spolu s nástrojem pro pořizování snímků obrazovky s názvem SLIMAGENT. Mezi funkce BEARDSHELL patří spouštění skriptů PowerShellu a nahrávání výsledného výstupu na vzdálený server pomocí rozhraní Icedrive API.
V době první detekce neměl CERT-UA jasno v tom, jak se malware do systému dostal. Nedávná zjištění, vyvolaná neoprávněným přístupem k e-mailovému účtu „gov.ua“, však odhalila původní vektor útoku použitý při incidentu v roce 2024. Toto hlubší vyšetřování potvrdilo nasazení jak malwaru BEARDSHELL, tak malwarového frameworku známého jako COVENANT.
Řetězec infekce: Dokumenty a datové části DLL s makry
Útok začíná zprávou Signal obsahující škodlivý dokument Microsoft Word s názvem „Акт.doc“. Tento dokument obsahuje vložené makro, které po aktivaci doručí dvě komponenty:
- Škodlivá knihovna DLL: ctec.dll
- Skrytý obrázek PNG: windows.png
Makro poté provede změny v registru systému Windows, aby zajistilo spuštění knihovny DLL při dalším spuštění souboru explorer.exe. Tato knihovna DLL přečte shellcode skrytý v obrázku PNG a spustí malware framework COVENANT, který se nachází v paměti.
Po aktivaci COVENANT stáhne a spustí dva mezilehlé datové pakety, které nakonec nainstalují zadní vrátka BEARDSHELL a zajistí tak trvalou kontrolu nad infikovaným systémem.
COVENANT: Sofistikovaný systém proti malwaru v akci
Framework COVENANT hraje v této operaci ústřední roli a slouží jako centrum pro spuštění dalšího malwaru. Jeho modulární design umožňuje flexibilní nasazení dat, což v tomto případě vede přímo ke spuštění BEARDSHELL. Tento rezidentní framework se vyhýbá tradičním detekčním mechanismům, což ho činí obzvláště nebezpečným pro cílová prostředí.
Doporučení pro monitorování a zmírňování
Aby se snížila míra vystavení se této kampani, CERT-UA doporučuje vládním a podnikovým sítím monitorovat provoz spojený s následujícími doménami:
- app.koofr.net
- api.icedrive.net
Ostražitý přístup k odchozím připojením k těmto doménám by mohl pomoci odhalit včasné známky kompromitace.
Závěr: Přetrvávající a vyvíjející se hrozby
APT28 nadále zdokonaluje své útočné techniky, začleňuje moderní platformy pro zasílání zpráv, jako je Signal, a kombinuje je se zranitelnostmi starších systémů. Tento dvojí přístup, využívající jak nově vyvinutý malware, tak známé exploity, podtrhuje vytrvalost skupiny a důležitost vícevrstvé kybernetické obrany. Organizace, zejména vládní agentury, musí zůstat ve střehu a proaktivně monitorovat síťový provoz a vyhledávat indikátory kompromitace.
