Zlonamjerni softver BEARDSHELL
Ukrajinski tim za računalne hitne intervencije (CERT-UA) izdao je upozorenje o novoj kampanji kibernetičkih napada koju je orkestrirala APT28, skupina prijetnji povezana s Rusijom, poznata i kao UAC-0001. Ova operacija koristi poruke Signal chata za isporuku dvije novo identificirane obitelji zlonamjernog softvera, praćene kao BEARDSHELL i COVENANT, što označava značajnu evoluciju u taktikama skupine.
Sadržaj
BEARDSHELL i SLIMAGENT: Opasan duo
BEARDSHELL, razvijen u C++, prvi put je otkriven između ožujka i travnja 2024., raspoređen na Windows sustavu uz alat za snimanje zaslona pod nazivom SLIMAGENT. Mogućnosti BEARDSHELL-a uključuju izvršavanje PowerShell skripti i prijenos rezultirajućeg izlaza na udaljeni poslužitelj pomoću Icedrive API-ja.
U vrijeme početnog otkrivanja, CERT-UA nije imao jasnoće o tome kako je zlonamjerni softver infiltrirao sustav. Međutim, nedavna otkrića, potaknuta neovlaštenim pristupom e-mail računu 'gov.ua', otkrila su početni vektor napada korišten u incidentu iz 2024. godine. Ova dublja istraga potvrdila je primjenu i BEARDSHELLA i okvira zlonamjernog softvera poznatog kao COVENANT.
Lanac infekcije: Dokumenti povezani makroima i DLL korisni sadržaji
Napad započinje porukom Signala koja sadrži zlonamjerni Microsoft Word dokument pod nazivom 'Акт.doc'. Ovaj dokument sadrži ugrađeni makro koji, nakon aktivacije, isporučuje dvije komponente:
- Zlonamjerni DLL: ctec.dll
- Prikrivena PNG slika: windows.png
Makro zatim vrši promjene u Windows registru kako bi osigurao pokretanje DLL-a prilikom sljedećeg pokretanja explorer.exe. Ovaj DLL čita shellcode skriven u PNG slici i pokreće COVENANT malware framework, koji se nalazi u memoriji.
Nakon aktivacije, COVENANT preuzima i izvršava dva međupodataka koji u konačnici instaliraju BEARDSHELL backdoor, dajući trajnu kontrolu nad zaraženim sustavom.
ZAVJET: Sofisticirani okvir za zlonamjerni softver u akciji
Okvir COVENANT igra središnju ulogu u ovoj operaciji, djelujući kao središte za izvršavanje dodatnog zlonamjernog softvera. Njegov modularni dizajn omogućuje fleksibilno raspoređivanje korisnih podataka, što u ovom slučaju izravno dovodi do izvršavanja BEARDSHELLA. Ovaj memorijski rezidentni okvir izbjegava tradicionalne mehanizme detekcije, što ga čini posebno opasnim za ciljana okruženja.
Preporuke za praćenje i ublažavanje
Kako bi se smanjila izloženost ovoj kampanji, CERT-UA savjetuje vladinim i poslovnim mrežama da prate promet povezan sa sljedećim domenama:
- app.koofr.net
- api.icedrive.net
Oprez u vezi s odlaznim vezama prema tim domenama mogao bi pomoći u otkrivanju ranih znakova kompromitiranja.
Zaključak: Trajne i promjenjive prijetnje
APT28 nastavlja usavršavati svoje tehnike napada, uključujući moderne platforme za razmjenu poruka poput Signala i kombinirajući ih s ranjivostima naslijeđenih sustava. Ovaj dvostruki pristup, korištenjem i novo razvijenog zlonamjernog softvera i poznatih exploita, naglašava upornost grupe i važnost slojevite kibernetičke obrane. Organizacije, posebno vladine agencije, moraju ostati na oprezu i proaktivno pratiti mrežni promet u potrazi za pokazateljima kompromitiranja.
