BEARDSHELLi pahavara
Ukraina küberintsidentidega tegelev meeskond (CERT-UA) on hoiatanud uue küberrünnakukampaania eest, mida korraldab APT28, Venemaaga seotud ohurühmitus, mida tuntakse ka kui UAC-0001. See operatsioon kasutab Signal-vestlussõnumeid kahe äsja tuvastatud pahavaraperekonna (BEARDSHELL ja COVENANT) edastamiseks, mis tähistab märkimisväärset arengut rühmituse taktikas.
Sisukord
BEARDSHELL ja SLIMAGENT: ohtlik duo
C++ keeles arendatud BEARDSHELL avastati esmakordselt 2024. aasta märtsi ja aprilli vahel Windowsi süsteemis koos ekraanipiltide tegemise tööriistaga SLIMAGENT. BEARDSHELLi võimaluste hulka kuulub PowerShelli skriptide käivitamine ja saadud väljundi üleslaadimine kaugserverisse Icedrive API abil.
Esialgse avastamise ajal puudus CERT-UA-l selgus, kuidas pahavara süsteemi imbus. Hiljutised leiud, mis ajendasid volitamata juurdepääsu 'gov.ua' e-posti kontole, on aga paljastanud 2024. aasta intsidendis kasutatud esialgse rünnakuvektori. See põhjalikum uurimine kinnitas nii BEARDSHELLi kui ka COVENANT-nimelise pahavara raamistiku kasutamist.
Nakatumise ahel: makrodega moonutatud dokumendid ja DLL-i kasulikud koormused
Rünnak algab signaalisõnumiga, mis sisaldab pahatahtlikku Microsoft Wordi dokumenti pealkirjaga "Акт.doc". See dokument sisaldab manustatud makrot, mis aktiveerimisel annab kaks komponenti:
- Pahatahtlik DLL: ctec.dll
- Varjatud PNG-pilt: windows.png
Seejärel teeb makro Windowsi registris muudatusi, et tagada DLL-i käivitamine explorer.exe järgmisel käivitamisel. See DLL loeb PNG-pildil peidetud kestakoodi ja käivitab mälus asuva pahavara raamistiku COVENANT.
Pärast aktiveerimist laadib COVENANT alla ja käivitab kaks vahefaili, mis lõpuks paigaldavad BEARDSHELLi tagaukse, andes püsiva kontrolli nakatunud süsteemi üle.
COVENANT: keerukas pahavara raamistik tegevuses
COVENANT raamistikul on selles operatsioonis keskne roll, toimides täiendava pahavara täitmiskeskusena. Selle modulaarne disain võimaldab kasulike koormuste paindlikku juurutamist, mis antud juhul viib otse BEARDSHELLi käivitamiseni. See mälupõhine raamistik väldib traditsioonilisi tuvastusmehhanisme, muutes selle eriti ohtlikuks sihtkeskkondade puhul.
Seire- ja leevendamissoovitused
Selle kampaaniaga kokkupuute vähendamiseks soovitab CERT-UA valitsus- ja ettevõtete võrkudel jälgida järgmiste domeenidega seotud liiklust:
- rakendus.koofr.net
- api.icedrive.net
Nende domeenide väliste ühenduste suhtes valvas olemine aitab tuvastada varajasi märke ohust.
Kokkuvõte: püsivad ja arenevad ohud
APT28 jätkab oma rünnakutehnikate täiustamist, kaasates kaasaegseid sõnumsideplatvorme nagu Signal ja kombineerides neid pärandsüsteemide haavatavustega. See kaheharuline lähenemisviis, mis kasutab nii äsja väljatöötatud pahavara kui ka teadaolevaid ärakasutamisvõimalusi, rõhutab grupi püsivust ja kihilise küberturvalisuse kaitse olulisust. Organisatsioonid, eriti valitsusasutused, peavad olema valvsad ja jälgima võrguliiklust ennetavalt, et leida märke ohtudest.
