BEARDSHELL kenkėjiška programa
Ukrainos kompiuterinių incidentų reagavimo komanda (CERT-UA) paskelbė įspėjimą apie naują kibernetinių atakų kampaniją, kurią organizuoja APT28 – su Rusija susijusi grėsmių grupuotė, dar žinoma kaip UAC-0001. Ši operacija naudoja „Signal“ pokalbių pranešimus, kad perduotų dvi naujai identifikuotas kenkėjiškų programų šeimas, kurios vadinamos BEARDSHELL ir COVENANT. Tai žymi žymią grupės taktikos evoliuciją.
Turinys
BEARDSHELL ir SLIMAGENT: pavojingas duetas
„BEARDSHELL“, sukurta C++ kalba, pirmą kartą buvo aptikta 2024 m. kovo–balandžio mėn., diegta „Windows“ sistemoje kartu su ekrano kopijų fiksavimo įrankiu „SLIMAGENT“. „BEARDSHELL“ galimybės apima „PowerShell“ scenarijų vykdymą ir gautos išvesties įkėlimą į nuotolinį serverį naudojant „Icedrive“ API.
Pradinio aptikimo metu CERT-UA nebuvo aišku, kaip kenkėjiška programa pateko į sistemą. Tačiau naujausi radiniai, atsiradę po neteisėtos prieigos prie „gov.ua“ el. pašto paskyros, atskleidė pradinį atakos vektorių, naudotą 2024 m. incidento metu. Šis išsamesnis tyrimas patvirtino, kad buvo naudojama ir „BEARDSHELL“, ir kenkėjiškų programų sistema, žinoma kaip „COVENANT“.
Užkrėtimo grandinė: makrokomandomis užkrėsti dokumentai ir DLL naudingosios apkrovos
Ataka prasideda nuo signalinio pranešimo, kuriame yra kenkėjiškas „Microsoft Word“ dokumentas pavadinimu „Акт.doc“. Šiame dokumente yra įterpta makrokomanda, kuri, aktyvuota, pateikia du komponentus:
- Kenkėjiškas DLL failas: ctec.dll
- Užmaskuotas PNG paveikslėlis: windows.png
Tada makrokomanda atlieka pakeitimus „Windows“ registre, kad užtikrintų, jog DLL būtų paleista kitą kartą paleidus explorer.exe. Ši DLL nuskaito PNG paveikslėlyje paslėptą apvalkalo kodą ir suaktyvina atmintyje esančią kenkėjiškų programų sistemą „COVENANT“.
Po aktyvavimo COVENANT atsisiunčia ir vykdo du tarpinius paketus, kurie galiausiai įdiegia BEARDSHELL galines duris, suteikdami nuolatinę užkrėstos sistemos kontrolę.
COVENANT: Sudėtinga kenkėjiškų programų sistema veikiant
Šioje operacijoje pagrindinį vaidmenį atlieka COVENANT sistema, veikianti kaip papildomos kenkėjiškos programos vykdymo centras. Jos modulinė konstrukcija leidžia lanksčiai diegti naudingąją apkrovą, šiuo atveju tiesiogiai vykdant BEARDSHELL. Ši atmintyje esanti sistema apeina tradicinius aptikimo mechanizmus, todėl yra ypač pavojinga tikslinėse aplinkose.
Stebėsenos ir mažinimo rekomendacijos
Siekdama sumažinti šios kampanijos poveikį, CERT-UA pataria vyriausybiniams ir įmonių tinklams stebėti srautą, susijusį su šiais domenais:
- programėlė.koofr.net
- api.icedrive.net
Budrumas stebint išeinančius ryšius su šiais domenais gali padėti aptikti ankstyvus įsilaužimo požymius.
Išvada: Nuolatinės ir besivystančios grėsmės
APT28 toliau tobulina savo atakų metodus, įtraukdama modernias pranešimų platformas, tokias kaip „Signal“, ir derindama jas su senųjų sistemų pažeidžiamumais. Šis dvejopas požiūris, naudojant tiek naujai sukurtas kenkėjiškas programas, tiek žinomus pažeidžiamumus, pabrėžia grupės atkaklumą ir daugiasluoksnės kibernetinio saugumo apsaugos svarbą. Organizacijos, ypač vyriausybinės agentūros, turi būti budrios ir aktyviai stebėti tinklo srautą, ieškodamos įsilaužimo požymių.
