Malware BEARDSHELL
Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha emesso un avviso su una nuova campagna di attacchi informatici orchestrata da APT28, un gruppo di cybercriminali legato alla Russia e noto anche come UAC-0001. Questa operazione utilizza messaggi di chat di Signal per diffondere due nuove famiglie di malware, identificate come BEARDSHELL e COVENANT, segnando una notevole evoluzione nelle tattiche del gruppo.
Sommario
BEARDSHELL e SLIMAGENT: un duo pericoloso
BEARDSHELL, sviluppato in C++, è stato rilevato per la prima volta tra marzo e aprile 2024, distribuito su un sistema Windows insieme a uno strumento di cattura screenshot chiamato SLIMAGENT. Le funzionalità di BEARDSHELL includono l'esecuzione di script PowerShell e il caricamento dell'output risultante su un server remoto tramite l'API Icedrive.
Al momento del rilevamento iniziale, CERT-UA non aveva ancora chiarito come il malware si fosse infiltrato nel sistema. Tuttavia, recenti scoperte, innescate dall'accesso non autorizzato a un account email "gov.ua", hanno rivelato il vettore di attacco iniziale utilizzato nell'incidente del 2024. Questa indagine più approfondita ha confermato l'implementazione sia di BEARDSHELL che di un framework malware noto come COVENANT.
Catena di infezione: documenti con macro e payload DLL
L'attacco inizia con un messaggio Signal contenente un documento Microsoft Word dannoso denominato "Akт.doc". Questo documento include una macro incorporata che, una volta attivata, fornisce due componenti:
- Una DLL dannosa: ctec.dll
- Un'immagine PNG camuffata: windows.png
La macro apporta quindi modifiche al Registro di sistema di Windows per garantire che la DLL venga eseguita al successivo avvio di explorer.exe. Questa DLL legge lo shellcode nascosto nell'immagine PNG e attiva il framework malware COVENANT, che risiede in memoria.
Dopo l'attivazione, COVENANT scarica ed esegue due payload intermedi che alla fine installano la backdoor BEARDSHELL, garantendo un controllo persistente sul sistema infetto.
COVENANT: un sofisticato framework antimalware in azione
Il framework COVENANT svolge un ruolo centrale in questa operazione, fungendo da hub di esecuzione per malware aggiuntivo. Il suo design modulare consente l'implementazione flessibile dei payload, portando in questo caso direttamente all'esecuzione di BEARDSHELL. Questo framework residente in memoria elude i meccanismi di rilevamento tradizionali, rendendolo particolarmente pericoloso per gli ambienti presi di mira.
Raccomandazioni di monitoraggio e mitigazione
Per ridurre l'esposizione a questa campagna, CERT-UA consiglia alle reti governative e aziendali di monitorare il traffico associato ai seguenti domini:
- app.koofr.net
- api.icedrive.net
Prestare attenzione alle connessioni in uscita verso questi domini potrebbe aiutare a individuare precocemente i segnali di compromissione.
Conclusione: minacce persistenti e in evoluzione
APT28 continua a perfezionare le sue tecniche di attacco, integrando piattaforme di messaggistica moderne come Signal e combinandole con vulnerabilità dei sistemi legacy. Questo approccio a due fronti, che utilizza sia malware di recente sviluppo che exploit noti, sottolinea la persistenza del gruppo e l'importanza di difese di sicurezza informatica a più livelli. Le organizzazioni, in particolare le agenzie governative, devono rimanere attente e monitorare proattivamente il traffico di rete per individuare eventuali indicatori di compromissione.
