Κακόβουλο λογισμικό BEARDSHELL
Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης σε Υπολογιστές της Ουκρανίας (CERT-UA) εξέδωσε προειδοποίηση σχετικά με μια νέα εκστρατεία κυβερνοεπίθεσης που ενορχηστρώθηκε από την APT28, μια ομάδα απειλών που συνδέεται με τη Ρωσία και είναι επίσης γνωστή ως UAC-0001. Αυτή η επιχείρηση χρησιμοποιεί μηνύματα συνομιλίας Signal για την αποστολή δύο πρόσφατα αναγνωρισμένων οικογενειών κακόβουλου λογισμικού, που παρακολουθούνται ως BEARDSHELL και COVENANT, σηματοδοτώντας μια αξιοσημείωτη εξέλιξη στις τακτικές της ομάδας.
Πίνακας περιεχομένων
BEARDSHELL και SLIMAGENT: Ένα Επικίνδυνο Δίδυμο
Το BEARDSHELL, που αναπτύχθηκε σε C++, εντοπίστηκε για πρώτη φορά μεταξύ Μαρτίου και Απριλίου 2024, σε σύστημα Windows μαζί με ένα εργαλείο λήψης στιγμιότυπων οθόνης με το όνομα SLIMAGENT. Οι δυνατότητες του BEARDSHELL περιλαμβάνουν την εκτέλεση σεναρίων PowerShell και την αποστολή του αποτελέσματος σε έναν απομακρυσμένο διακομιστή χρησιμοποιώντας το Icedrive API.
Κατά τη στιγμή της αρχικής ανίχνευσης, το CERT-UA δεν είχε σαφή εικόνα για το πώς το κακόβουλο λογισμικό διείσδυσε στο σύστημα. Ωστόσο, πρόσφατα ευρήματα, που προκλήθηκαν από μη εξουσιοδοτημένη πρόσβαση σε έναν λογαριασμό email 'gov.ua', αποκάλυψαν τον αρχικό φορέα επίθεσης που χρησιμοποιήθηκε στο περιστατικό του 2024. Αυτή η εις βάθος έρευνα επιβεβαίωσε την ανάπτυξη τόσο του BEARDSHELL όσο και ενός πλαισίου κακόβουλου λογισμικού γνωστού ως COVENANT.
Αλυσίδα μόλυνσης: Έγγραφα με μακροεντολές και φορτία DLL
Η επίθεση ξεκινά με ένα μήνυμα Signal που περιέχει ένα κακόβουλο έγγραφο του Microsoft Word με τίτλο «Акт.doc». Αυτό το έγγραφο περιλαμβάνει μια ενσωματωμένη μακροεντολή που, μόλις ενεργοποιηθεί, παρέχει δύο στοιχεία:
- Ένα κακόβουλο αρχείο DLL: ctec.dll
- Μια μεταμφιεσμένη εικόνα PNG: windows.png
Στη συνέχεια, η μακροεντολή κάνει αλλαγές στο μητρώο των Windows για να διασφαλίσει ότι το αρχείο DLL θα εκτελεστεί κατά την επόμενη εκκίνηση του explorer.exe. Αυτό το αρχείο DLL διαβάζει τον κώδικα shell που είναι κρυμμένος στην εικόνα PNG και ενεργοποιεί το πλαίσιο κακόβουλου λογισμικού COVENANT, το οποίο βρίσκεται στη μνήμη.
Μετά την ενεργοποίηση, το COVENANT προχωρά στη λήψη και εκτέλεση δύο ενδιάμεσων φορτίων που τελικά εγκαθιστούν το backdoor BEARDSHELL, παρέχοντας συνεχή έλεγχο στο μολυσμένο σύστημα.
COVENANT: Εξελιγμένο πλαίσιο προστασίας από κακόβουλο λογισμικό σε δράση
Το πλαίσιο COVENANT παίζει κεντρικό ρόλο σε αυτήν τη λειτουργία, λειτουργώντας ως κόμβος εκτέλεσης για πρόσθετο κακόβουλο λογισμικό. Ο αρθρωτός σχεδιασμός του επιτρέπει την ευέλικτη ανάπτυξη ωφέλιμων φορτίων, που σε αυτήν την περίπτωση οδηγεί απευθείας στην εκτέλεση του BEARDSHELL. Αυτό το πλαίσιο που βρίσκεται στη μνήμη αποφεύγει τους παραδοσιακούς μηχανισμούς ανίχνευσης, καθιστώντας το ιδιαίτερα επικίνδυνο για στοχευμένα περιβάλλοντα.
Συστάσεις παρακολούθησης και μετριασμού
Για να μειωθεί η έκθεση σε αυτήν την καμπάνια, το CERT-UA συμβουλεύει τα κυβερνητικά και εταιρικά δίκτυα να παρακολουθούν την επισκεψιμότητα που σχετίζεται με τους ακόλουθους τομείς:
- app.koofr.net
- api.icedrive.net
Η επαγρύπνηση σχετικά με τις εξερχόμενες συνδέσεις προς αυτούς τους τομείς θα μπορούσε να βοηθήσει στην ανίχνευση πρώιμων σημαδιών παραβίασης.
Συμπέρασμα: Επίμονες και εξελισσόμενες απειλές
Η APT28 συνεχίζει να βελτιώνει τις τεχνικές επιθέσεών της, ενσωματώνοντας σύγχρονες πλατφόρμες ανταλλαγής μηνυμάτων όπως το Signal και συνδυάζοντάς τες με παλαιά τρωτά σημεία του συστήματος. Αυτή η διττή προσέγγιση, χρησιμοποιώντας τόσο πρόσφατα ανεπτυγμένο κακόβουλο λογισμικό όσο και γνωστά exploits, υπογραμμίζει την επιμονή της ομάδας και τη σημασία των πολυεπίπεδων αμυντικών συστημάτων στον κυβερνοχώρο. Οι οργανισμοί, ιδίως οι κυβερνητικές υπηρεσίες, πρέπει να παραμένουν σε εγρήγορση και να παρακολουθούν προληπτικά την κυκλοφορία δικτύου για ενδείξεις παραβίασης.
