Perisian hasad BEARDSHELL
Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) telah mengeluarkan amaran tentang kempen serangan siber baharu yang didalangi oleh APT28, kumpulan ancaman yang dikaitkan dengan Rusia dan juga dikenali sebagai UAC-0001. Operasi ini menggunakan mesej sembang Isyarat untuk menyampaikan dua keluarga perisian hasad yang baru dikenal pasti, dikesan sebagai BEARDSHELL dan COVENANT, menandakan evolusi ketara dalam taktik kumpulan.
Isi kandungan
BEARDSHELL dan SLIMAGENT: Duo Berbahaya
BEARDSHELL, dibangunkan dalam C++, mula-mula dikesan antara Mac dan April 2024, digunakan pada sistem Windows bersama alat menangkap tangkapan skrin bernama SLIMAGENT. Keupayaan BEARDSHELL termasuk melaksanakan skrip PowerShell dan memuat naik output yang terhasil ke pelayan jauh menggunakan API Icedrive.
Pada masa pengesanan awal, CERT-UA tidak mempunyai kejelasan tentang cara perisian hasad menyusup ke dalam sistem. Bagaimanapun, penemuan baru-baru ini, yang dicetuskan oleh akses tanpa kebenaran kepada akaun e-mel 'gov.ua', telah mendedahkan vektor serangan awal yang digunakan dalam insiden 2024. Siasatan yang lebih mendalam ini mengesahkan penggunaan kedua-dua BEARDSHELL dan rangka kerja perisian hasad yang dikenali sebagai COVENANT.
Rantaian Jangkitan: Dokumen Macro-Laced dan Muatan DLL
Serangan bermula dengan mesej Isyarat yang mengandungi dokumen Microsoft Word berniat jahat bertajuk 'Акт.doc.' Dokumen ini termasuk makro terbenam yang, setelah diaktifkan, menyampaikan dua komponen:
- DLL berniat jahat: ctec.dll
- Imej PNG yang menyamar: windows.png
Makro kemudian membuat perubahan pada Windows Registry untuk memastikan DLL berjalan apabila explorer.exe dilancarkan seterusnya. DLL ini membaca kod shell tersembunyi dalam imej PNG dan mencetuskan rangka kerja perisian hasad COVENANT, yang berada dalam ingatan.
Selepas pengaktifan, COVENANT meneruskan untuk memuat turun dan melaksanakan dua muatan perantaraan yang akhirnya memasang pintu belakang BEARDSHELL, memberikan kawalan berterusan ke atas sistem yang dijangkiti.
PERJANJIAN: Rangka Kerja Perisian Hasad Canggih dalam Tindakan
Rangka kerja COVENANT memainkan peranan penting dalam operasi ini, bertindak sebagai hab pelaksanaan untuk perisian hasad tambahan. Reka bentuk modularnya membolehkan penggunaan muatan yang fleksibel, dalam kes ini membawa terus kepada pelaksanaan BEARDSHELL. Rangka kerja pemastautin ingatan ini mengelak daripada mekanisme pengesanan tradisional, menjadikannya amat berbahaya untuk persekitaran yang disasarkan.
Cadangan Pemantauan dan Mitigasi
Untuk mengurangkan pendedahan kepada kempen ini, CERT-UA menasihati rangkaian kerajaan dan perusahaan untuk memantau trafik yang dikaitkan dengan domain berikut:
- app.koofr.net
- api.icedrive.net
Berwaspada tentang sambungan keluar ke domain ini boleh membantu mengesan tanda-tanda awal kompromi.
Kesimpulan: Ancaman Berterusan dan Berkembang
APT28 terus memperhalusi teknik serangannya, menggabungkan platform pemesejan moden seperti Signal dan menggabungkannya dengan kelemahan sistem warisan. Pendekatan dwi-cabang ini, menggunakan kedua-dua perisian hasad yang baru dibangunkan dan eksploitasi yang diketahui, menggariskan kegigihan kumpulan dan kepentingan pertahanan keselamatan siber berlapis. Organisasi, terutamanya agensi kerajaan, mesti sentiasa berwaspada dan memantau trafik rangkaian secara proaktif untuk petunjuk kompromi.
