BEARDSHELL ļaunprogrammatūra
Ukrainas datorapdraudējumu reaģēšanas komanda (CERT-UA) ir izdevusi brīdinājumu par jaunu kiberuzbrukuma kampaņu, ko organizē APT28 — ar Krieviju saistīta draudu grupa, kas pazīstama arī kā UAC-0001. Šī operācija izmanto Signal tērzēšanas ziņojumus, lai piegādātu divas jaunatklātas ļaunprogrammatūru saimes, kas izsekotas kā BEARDSHELL un COVENANT, iezīmējot ievērojamu grupas taktikas attīstību.
Satura rādītājs
BEARDSHELL un SLIMAGENT: Bīstams duets
BEARDSHELL, kas izstrādāts C++ valodā, pirmo reizi tika atklāts laikā no 2024. gada marta līdz aprīlim, izvietots Windows sistēmā kopā ar ekrānuzņēmumu uzņemšanas rīku SLIMAGENT. BEARDSHELL iespējas ietver PowerShell skriptu izpildi un iegūtās izvades augšupielādi attālā serverī, izmantojot Icedrive API.
Sākotnējās atklāšanas laikā CERT-UA nebija skaidrības par to, kā ļaunprogrammatūra iekļuva sistēmā. Tomēr nesenie atklājumi, ko izraisīja neatļauta piekļuve “gov.ua” e-pasta kontam, ir atklājuši sākotnējo uzbrukuma vektoru, kas tika izmantots 2024. gada incidentā. Šī padziļinātā izmeklēšana apstiprināja gan BEARDSHELL, gan ļaunprogrammatūras ietvara COVENANT izmantošanu.
Infekcijas ķēde: ar makro piesieti dokumenti un DLL lietderīgās slodzes
Uzbrukums sākas ar signāla ziņojumu, kas satur ļaunprātīgu Microsoft Word dokumentu ar nosaukumu “Акт.doc”. Šajā dokumentā ir iegults makro, kas pēc aktivizēšanas nodrošina divus komponentus:
- Ļaunprātīga DLL fails: ctec.dll
- Slēpts PNG attēls: windows.png
Pēc tam makro veic izmaiņas Windows reģistrā, lai nodrošinātu DLL palaišanu, kad nākamreiz tiek palaists explorer.exe. Šis DLL nolasa PNG attēlā paslēpto apvalka kodu un aktivizē COVENANT ļaunprogrammatūras ietvaru, kas atrodas atmiņā.
Pēc aktivizēšanas COVENANT lejupielādē un izpilda divas starpposma vērtās programmas, kas galu galā instalē BEARDSHELL aizmugurējo durvju sistēmu, nodrošinot pastāvīgu kontroli pār inficēto sistēmu.
COVENANT: Sarežģīta ļaunprogrammatūras sistēma darbībā
Šajā operācijā centrālu lomu spēlē COVENANT ietvars, kas darbojas kā izpildes centrs papildu ļaunprogrammatūrai. Tā modulārais dizains ļauj elastīgi izvietot vērtumus, šajā gadījumā tieši novedot pie BEARDSHELL izpildes. Šis atmiņā esošais ietvars apiet tradicionālos noteikšanas mehānismus, padarot to īpaši bīstamu mērķētām vidēm.
Uzraudzības un mazināšanas ieteikumi
Lai mazinātu šīs kampaņas ietekmi, CERT-UA iesaka valdības un uzņēmumu tīkliem uzraudzīt datplūsmu, kas saistīta ar šādiem domēniem:
- lietotne.koofr.net
- api.icedrive.net
Modrība attiecībā uz izejošajiem savienojumiem ar šiem domēniem varētu palīdzēt atklāt agrīnas kompromitēšanas pazīmes.
Secinājums: Pastāvīgi un mainīgi draudi
APT28 turpina pilnveidot savas uzbrukuma metodes, iekļaujot modernas ziņojumapmaiņas platformas, piemēram, Signal, un apvienojot tās ar mantotu sistēmu ievainojamībām. Šī divējāda pieeja, izmantojot gan jaunizstrādātu ļaunprogrammatūru, gan zināmus ievainojamības avotus, uzsver grupas neatlaidību un daudzslāņu kiberdrošības aizsardzības nozīmi. Organizācijām, īpaši valdības iestādēm, ir jābūt modrām un proaktīvi jāuzrauga tīkla datplūsma, lai identificētu kompromitēšanas pazīmes.
