BEARDSHELL kártevő
Az Ukrán Számítógépes Vészhelyzeti Elhárító Csoport (CERT-UA) figyelmeztetést adott ki egy új kibertámadási kampányról, amelyet az APT28, egy Oroszországhoz köthető, UAC-0001 néven is ismert fenyegetéscsoport szervezett. A művelet Signal chat üzeneteket használ két újonnan azonosított kártevőcsalád, a BEARDSHELL és a COVENANT kézbesítésére, ami figyelemre méltó fejlődést jelez a csoport taktikájában.
Tartalomjegyzék
BEARDSHELL és SLIMAGENT: Veszélyes duó
A C++ nyelven fejlesztett BEARDSHELL vírust először 2024 márciusa és áprilisa között észlelték egy Windows rendszeren, egy SLIMAGENT nevű képernyőkép-készítő eszközzel együtt telepítve. A BEARDSHELL képességei közé tartozik a PowerShell szkriptek futtatása és a kapott kimenet feltöltése egy távoli szerverre az Icedrive API használatával.
A kezdeti észlelés idején a CERT-UA nem volt tisztában azzal, hogyan szivárgott be a rosszindulatú program a rendszerbe. A „gov.ua” e-mail fiókhoz való jogosulatlan hozzáférésből származó friss eredmények azonban feltárták a 2024-es incidens során használt eredeti támadási vektort. Ez a mélyebb vizsgálat megerősítette mind a BEARDSHELL, mind a COVENANT néven ismert rosszindulatú program keretrendszer telepítését.
Fertőzéslánc: Makrókkal teli dokumentumok és DLL-hasznosadatok
A támadás egy Signal üzenettel kezdődik, amely egy „Акт.doc” című rosszindulatú Microsoft Word dokumentumot tartalmaz. Ez a dokumentum egy beágyazott makrót tartalmaz, amely aktiválás után két komponenst biztosít:
- Egy rosszindulatú DLL: ctec.dll
- Egy álcázott PNG kép: windows.png
A makró ezután módosításokat hajt végre a Windows rendszerleíró adatbázisában, hogy a DLL az explorer.exe következő indításakor fusson. Ez a DLL beolvassa a PNG képben rejtett shellkódot, és elindítja a memóriában található COVENANT kártevő keretrendszert.
Az aktiválást követően a COVENANT letölt és végrehajt két köztes hasznos fájlt, amelyek végül telepítik a BEARDSHELL hátsó ajtót, és állandó kontrollt biztosítanak a fertőzött rendszer felett.
COVENANT: Kifinomult kártevőirtó keretrendszer működés közben
A COVENANT keretrendszer központi szerepet játszik ebben a műveletben, mivel további rosszindulatú programok végrehajtási központjaként működik. Moduláris felépítése lehetővé teszi a hasznos adatok rugalmas telepítését, ami ebben az esetben közvetlenül a BEARDSHELL végrehajtásához vezet. Ez a memóriában tárolt keretrendszer megkerüli a hagyományos észlelési mechanizmusokat, így különösen veszélyes a célzott környezetek számára.
Monitoring és mérséklési ajánlások
A kampánynak való kitettség csökkentése érdekében a CERT-UA azt tanácsolja a kormányzati és vállalati hálózatoknak, hogy figyeljék a következő domainekhez kapcsolódó forgalmat:
- app.koofr.net
- api.icedrive.net
Az ezekhez a domainekhez kimenő kapcsolatok ébersége segíthet a kompromittálódás korai jeleinek észlelésében.
Következtetés: Állandó és folyamatosan változó fenyegetések
Az APT28 folyamatosan finomítja támadási technikáit, olyan modern üzenetküldő platformokat épít be, mint a Signal, és kombinálja azokat a régi rendszerek sebezhetőségeivel. Ez a kettős megközelítés, amely mind az újonnan kifejlesztett rosszindulatú programokat, mind az ismert támadási lehetőségeket használja, kiemeli a csoport kitartását és a rétegzett kiberbiztonsági védelem fontosságát. A szervezeteknek, különösen a kormányzati szerveknek, ébernek kell maradniuk, és proaktívan figyelniük kell a hálózati forgalmat a behatolás jelei után kutatva.
