BEARDSHELL मैलवेयर

यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-UA) ने APT28 द्वारा संचालित एक नए साइबर हमले अभियान के बारे में चेतावनी जारी की है, जो रूस से जुड़ा एक ख़तरा समूह है और जिसे UAC-0001 के नाम से भी जाना जाता है। यह ऑपरेशन सिग्नल चैट संदेशों का उपयोग करके दो नए पहचाने गए मैलवेयर परिवारों को वितरित करता है, जिन्हें BEARDSHELL और COVENANT के रूप में ट्रैक किया जाता है, जो समूह की रणनीति में उल्लेखनीय विकास को दर्शाता है।

बियर्डशेल और स्लिमजेंट: एक खतरनाक जोड़ी

C++ में विकसित BEARDSHELL को पहली बार मार्च और अप्रैल 2024 के बीच पहचाना गया था, जिसे SLIMAGENT नामक स्क्रीनशॉट कैप्चरिंग टूल के साथ विंडोज सिस्टम पर तैनात किया गया था। BEARDSHELL की क्षमताओं में PowerShell स्क्रिप्ट को निष्पादित करना और परिणामी आउटपुट को Icedrive API का उपयोग करके रिमोट सर्वर पर अपलोड करना शामिल है।

प्रारंभिक पहचान के समय, CERT-UA को इस बात पर स्पष्टता की कमी थी कि मैलवेयर ने सिस्टम में घुसपैठ कैसे की। हालाँकि, हाल ही में 'gov.ua' ईमेल खाते तक अनधिकृत पहुँच से प्रेरित निष्कर्षों ने 2024 की घटना में इस्तेमाल किए गए प्रारंभिक हमले के वेक्टर का खुलासा किया है। इस गहन जांच ने BEARDSHELL और COVENANT नामक मैलवेयर फ्रेमवर्क दोनों की तैनाती की पुष्टि की।

संक्रमण शृंखला: मैक्रो-लेस्ड दस्तावेज़ और DLL पेलोड

यह हमला सिग्नल संदेश से शुरू होता है, जिसमें 'Акт.doc' नामक दुर्भावनापूर्ण माइक्रोसॉफ्ट वर्ड दस्तावेज़ होता है। इस दस्तावेज़ में एक एम्बेडेड मैक्रो शामिल होता है, जो एक बार सक्रिय होने पर दो घटक प्रदान करता है:

• दुर्भावनापूर्ण DLL: ctec.dll
• एक छद्म PNG छवि: windows.png

मैक्रो तब Windows रजिस्ट्री में परिवर्तन करता है ताकि यह सुनिश्चित हो सके कि explorer.exe को अगली बार लॉन्च करने पर DLL चले। यह DLL PNG इमेज में छिपे शेलकोड को पढ़ता है और मेमोरी में मौजूद COVENANT मैलवेयर फ्रेमवर्क को ट्रिगर करता है।

सक्रियण के बाद, COVENANT दो मध्यवर्ती पेलोड को डाउनलोड और निष्पादित करता है, जो अंततः BEARDSHELL बैकडोर को स्थापित करता है, जिससे संक्रमित सिस्टम पर लगातार नियंत्रण प्राप्त होता है।

COVENANT: क्रियाशील परिष्कृत मैलवेयर फ्रेमवर्क

COVENANT फ्रेमवर्क इस ऑपरेशन में एक केंद्रीय भूमिका निभाता है, जो अतिरिक्त मैलवेयर के लिए निष्पादन केंद्र के रूप में कार्य करता है। इसका मॉड्यूलर डिज़ाइन पेलोड की लचीली तैनाती की अनुमति देता है, इस मामले में BEARDSHELL के निष्पादन की ओर सीधे जाता है। यह मेमोरी-रेजिडेंट फ्रेमवर्क पारंपरिक पहचान तंत्र से बचता है, जिससे यह लक्षित वातावरण के लिए विशेष रूप से खतरनाक हो जाता है।

निगरानी और शमन संबंधी सिफारिशें

इस अभियान के प्रभाव को कम करने के लिए, CERT-UA ने सरकारी और उद्यम नेटवर्कों को निम्नलिखित डोमेन से जुड़े ट्रैफ़िक की निगरानी करने की सलाह दी है:

• ऐप.koofr.net
• api.icedrive.net

इन डोमेनों के आउटबाउंड कनेक्शनों के प्रति सतर्क रहने से समझौता के प्रारंभिक संकेतों का पता लगाने में मदद मिल सकती है।

निष्कर्ष: लगातार और विकसित होते खतरे

APT28 अपने हमले की तकनीकों को परिष्कृत करना जारी रखता है, सिग्नल जैसे आधुनिक मैसेजिंग प्लेटफ़ॉर्म को शामिल करता है और उन्हें विरासत प्रणाली की कमज़ोरियों के साथ जोड़ता है। यह दोहरे दृष्टिकोण, नए विकसित मैलवेयर और ज्ञात शोषण दोनों का उपयोग करते हुए, समूह की दृढ़ता और स्तरित साइबर सुरक्षा बचाव के महत्व को रेखांकित करता है। संगठनों, विशेष रूप से सरकारी एजेंसियों को सतर्क रहना चाहिए और समझौता के संकेतकों के लिए नेटवर्क ट्रैफ़िक की सक्रिय रूप से निगरानी करनी चाहिए।