BEARDSHELL-malware
Ukraines computerberedskabsteam (CERT-UA) har udsendt en advarsel om en ny cyberangrebskampagne orkestreret af APT28, en trusselsgruppe med tilknytning til Rusland og også kendt som UAC-0001. Denne operation bruger Signal-chatbeskeder til at levere to nyligt identificerede malwarefamilier, sporet som BEARDSHELL og COVENANT, hvilket markerer en bemærkelsesværdig udvikling i gruppens taktik.
Indholdsfortegnelse
BEARDSHELL og SLIMAGENT: En farlig duo
BEARDSHELL, udviklet i C++, blev først opdaget mellem marts og april 2024, implementeret på et Windows-system sammen med et skærmbilledeværktøj ved navn SLIMAGENT. BEARDSHELLs funktioner omfatter udførelse af PowerShell-scripts og upload af det resulterende output til en ekstern server ved hjælp af Icedrive API'en.
På tidspunktet for den første opdagelse manglede CERT-UA klarhed over, hvordan malwaren infiltrerede systemet. Nylige fund, udløst af uautoriseret adgang til en 'gov.ua' e-mailkonto, har dog afsløret den oprindelige angrebsvektor, der blev brugt i hændelsen i 2024. Denne dybere undersøgelse bekræftede implementeringen af både BEARDSHELL og et malware-framework kendt som COVENANT.
Infektionskæde: Makro-tilsluttede dokumenter og DLL-nyttelaster
Angrebet starter med en signalmeddelelse, der indeholder et ondsindet Microsoft Word-dokument med titlen 'Акт.doc'. Dette dokument indeholder en integreret makro, der, når den er aktiveret, leverer to komponenter:
- En skadelig DLL: ctec.dll
- Et forklædt PNG-billede: windows.png
Makroen foretager derefter ændringer i Windows-registreringsdatabasen for at sikre, at DLL'en kører, næste gang explorer.exe startes. Denne DLL læser shellcode, der er skjult i PNG-billedet, og udløser COVENANT-malware-frameworket, som findes i hukommelsen.
Efter aktivering downloader og udfører COVENANT to mellemliggende nyttelaster, der i sidste ende installerer BEARDSHELL-bagdøren og giver vedvarende kontrol over det inficerede system.
COVENANT: Sofistikeret malware-rammeværk i aktion
COVENANT-frameworket spiller en central rolle i denne operation, da det fungerer som eksekveringscenter for yderligere malware. Dets modulære design muliggør fleksibel implementering af nyttelast, hvilket i dette tilfælde fører direkte til eksekveringen af BEARDSHELL. Dette hukommelsesresidente framework omgår traditionelle detektionsmekanismer, hvilket gør det særligt farligt for målrettede miljøer.
Overvågnings- og afbødende anbefalinger
For at reducere eksponeringen for denne kampagne råder CERT-UA offentlige og virksomhedsnetværk til at overvåge trafik forbundet med følgende domæner:
- app.koofr.net
- api.icedrive.net
At være opmærksom på udgående forbindelser til disse domæner kan hjælpe med at opdage tidlige tegn på kompromittering.
Konklusion: Vedvarende og udviklende trusler
APT28 fortsætter med at forfine sine angrebsteknikker og inkorporerer moderne beskedplatforme som Signal og kombinerer dem med sårbarheder i ældre systemer. Denne dobbeltstrengede tilgang, der bruger både nyudviklet malware og kendte exploits, understreger gruppens vedholdenhed og vigtigheden af lagdelte cybersikkerhedsforsvar. Organisationer, især offentlige myndigheder, skal være opmærksomme og proaktivt overvåge netværkstrafik for indikatorer på kompromittering.
