BEARDSHELL-haittaohjelma
Ukrainan tietoturvaryhmä CERT-UA on antanut varoituksen uudesta kyberhyökkäyskampanjasta, jonka on järjestänyt Venäjään kytköksissä oleva uhkaryhmä APT28, joka tunnetaan myös nimellä UAC-0001. Operaatiossa käytetään Signal-chat-viestejä kahden uuden tunnistetun haittaohjelmaperheen, BEARDSHELLin ja COVENANTin, toimittamiseen. Tämä on merkittävä kehitysaskel ryhmän taktiikassa.
Sisällysluettelo
BEARDSHELL ja SLIMAGENT: Vaarallinen kaksikko
C++:lla kehitetty BEARDSHELL havaittiin ensimmäisen kerran maalis-huhtikuun 2024 välisenä aikana Windows-järjestelmässä yhdessä SLIMAGENT-nimisen kuvakaappaustyökalun kanssa. BEARDSHELLin ominaisuuksiin kuuluu PowerShell-skriptien suorittaminen ja tuloksena olevan tulosteen lataaminen etäpalvelimelle Icedrive-rajapinnan avulla.
Alkuperäisen havainnon aikaan CERT-UA:lla ei ollut selvää, miten haittaohjelma pääsi järjestelmään. Viimeaikaiset löydökset, jotka johtuivat luvattomasta pääsystä 'gov.ua'-sähköpostitiliin, ovat kuitenkin paljastaneet vuoden 2024 tapauksessa käytetyn alkuperäisen hyökkäysvektorin. Tämä perusteellisempi tutkimus vahvisti sekä BEARDSHELL- että COVENANT-nimisen haittaohjelmakehyksen käytön.
Tartuntaketju: Makroilla sidotut asiakirjat ja DLL-hyötykuormat
Hyökkäys alkaa Signal-viestillä, joka sisältää haitallisen Microsoft Word -asiakirjan nimeltä 'Акт.doc'. Asiakirja sisältää upotetun makron, joka aktivoituessaan tuottaa kaksi komponenttia:
- Haitallinen DLL-tiedosto: ctec.dll
- Naamioitu PNG-kuva: windows.png
Makro tekee sitten muutoksia Windowsin rekisteriin varmistaakseen, että DLL suoritetaan, kun explorer.exe käynnistetään seuraavan kerran. Tämä DLL lukee PNG-kuvaan piilotetun komentotulkin ja käynnistää muistissa sijaitsevan COVENANT-haittaohjelmakehyksen.
Aktivoinnin jälkeen COVENANT lataa ja suorittaa kaksi välivaiheen hyötykuormaa, jotka lopulta asentavat BEARDSHELL-takaoven ja antavat pysyvän hallinnan tartunnan saaneeseen järjestelmään.
COVENANT: Hienostunut haittaohjelmakehys toiminnassa
COVENANT-kehyksellä on keskeinen rooli tässä operaatiossa, sillä se toimii lisähaittaohjelmien suorituskeskuksena. Sen modulaarinen rakenne mahdollistaa hyötykuormien joustavan käyttöönoton, mikä tässä tapauksessa johtaa suoraan BEARDSHELL-haittaohjelman suorittamiseen. Tämä muistissa oleva kehys kiertää perinteiset tunnistusmekanismit, mikä tekee siitä erityisen vaarallisen kohdennetuissa ympäristöissä.
Seuranta- ja lieventämissuositukset
Vähentääkseen altistumista tälle kampanjalle CERT-UA neuvoo valtion ja yritysten verkkoja valvomaan seuraaviin verkkotunnuksiin liittyvää liikennettä:
- sovellus.koofr.net
- api.icedrive.net
Näihin verkkotunnuksiin lähtevien yhteyksien valppaana pitäminen voi auttaa havaitsemaan tietomurron varhaisia merkkejä.
Johtopäätös: Jatkuvat ja kehittyvät uhat
APT28 jatkaa hyökkäystekniikoidensa hiomista sisällyttämällä käyttöön moderneja viestintäalustoja, kuten Signalin, ja yhdistämällä niitä vanhojen järjestelmien haavoittuvuuksiin. Tämä kaksitahoinen lähestymistapa, jossa käytetään sekä uusia haittaohjelmia että tunnettuja hyökkäyspolkuja, korostaa ryhmän sinnikkyyttä ja kerroksellisten kyberturvallisuustoimenpiteiden merkitystä. Organisaatioiden, erityisesti valtion virastojen, on pysyttävä valppaina ja seurattava verkkoliikennettä ennakoivasti vaarantumisen merkkien varalta.
