הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית BEARDSHELL

תוכנה זדונית BEARDSHELL

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

צוות תגובת החירום הממוחשב של אוקראינה (CERT-UA) פרסם אזהרה מפני קמפיין מתקפת סייבר חדש שאורגן על ידי APT28, קבוצת איומים המקושרת לרוסיה וידועה גם בשם UAC-0001. מבצע זה משתמש בהודעות צ'אט של Signal כדי להעביר שתי משפחות של תוכנות זדוניות שזוהו לאחרונה, תחת השמות BEARDSHELL ו-COVENANT, המסמן התפתחות ניכרת בטקטיקות של הקבוצה.

BEARDSHELL ו-SLIMAGENT: צמד מסוכן

BEARDSHELL, שפותחה ב-C++, זוהתה לראשונה בין מרץ לאפריל 2024, כשהיא פרוסה במערכת Windows לצד כלי צילום מסך בשם SLIMAGENT. יכולותיה של BEARDSHELL כוללות ביצוע סקריפטים של PowerShell והעלאת הפלט המתקבל לשרת מרוחק באמצעות ממשק ה-API של Icedrive.

בזמן הגילוי הראשוני, ל-CERT-UA לא היה ברור כיצד חדרה התוכנה הזדונית למערכת. עם זאת, ממצאים אחרונים, שנגרמו כתוצאה מגישה בלתי מורשית לחשבון דוא"ל של 'gov.ua', חשפו את וקטור התקיפה הראשוני בו נעשה שימוש באירוע בשנת 2024. חקירה מעמיקה זו אישרה את פריסת BEARDSHELL ומסגרת תוכנה זדונית המכונה COVENANT.

שרשרת זיהום: מסמכים משולבים במאקרו ומטעני DLL

ההתקפה מתחילה בהודעת איתות המכילה מסמך Microsoft Word זדוני בשם 'Акт.doc'. מסמך זה כולל מאקרו מוטמע אשר לאחר הפעלתו מספק שני רכיבים:

  • קובץ DLL זדוני: ctec.dll
  • תמונת PNG מוסווית: windows.png

לאחר מכן, המאקרו מבצע שינויים ברישום של Windows כדי להבטיח שקובץ ה-DLL יפעל בפעם הבאה ש-explorer.exe יופעל. קובץ DLL זה קורא את קוד המעטפת המוסתר בתמונת ה-PNG ומפעיל את מסגרת התוכנה הזדונית COVENANT, הנמצאת בזיכרון.

לאחר ההפעלה, COVENANT ממשיך להוריד ולהפעיל שני מטענים ביניים שבסופו של דבר מתקינים את הדלת האחורית של BEARDSHELL, ומעניקים שליטה מתמשכת על המערכת הנגועה.

COVENANT: מסגרת תוכנות זדוניות מתוחכמות בפעולה

למסגרת COVENANT תפקיד מרכזי בפעולה זו, והיא משמשת כמרכז ביצוע עבור תוכנות זדוניות נוספות. העיצוב המודולרי שלה מאפשר פריסה גמישה של מטענים, שבמקרה זה מובילה ישירות להפעלת BEARDSHELL. מסגרת זו, השוכנת בזיכרון, עוקפת מנגנוני זיהוי מסורתיים, מה שהופך אותה למסוכנת במיוחד עבור סביבות ממוקדות.

המלצות לניטור והפחתת השפעות

כדי להפחית את החשיפה לקמפיין זה, CERT-UA ממליצה לרשתות ממשלתיות וארגוניות לנטר תעבורה הקשורה לדומיינים הבאים:

  • app.koofr.net
  • api.icedrive.net

ערנות לגבי חיבורים יוצאים לדומיינים אלה יכולה לסייע בזיהוי סימנים מוקדמים של פגיעה.

סיכום: איומים מתמשכים ומתפתחים

APT28 ממשיכה לשכלל את טכניקות ההתקפה שלה, תוך שילוב פלטפורמות העברת הודעות מודרניות כמו Signal ומשלבת אותן עם פגיעויות של מערכות מדור קודם. גישה דו-שלבית זו, המשתמשת הן בתוכנות זדוניות שפותחו לאחרונה והן בניצול נוזקות ידועות, מדגישה את התמדה של הקבוצה ואת החשיבות של הגנות סייבר רב-שכבתיות. ארגונים, ובמיוחד סוכנויות ממשלתיות, חייבים להישאר ערניים ולנטר באופן יזום את תעבורת הרשת לאיתור אינדיקטורים לפגיעה.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,126
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...