BEARDSHELL-skadevare
Ukrainas beredskapsteam for databeredskap (CERT-UA) har utstedt en advarsel om en ny cyberangrepskampanje orkestrert av APT28, en trusselgruppe knyttet til Russland og også kjent som UAC-0001. Denne operasjonen bruker Signal-chatmeldinger for å levere to nylig identifiserte skadevarefamilier, sporet som BEARDSHELL og COVENANT, noe som markerer en bemerkelsesverdig utvikling i gruppens taktikk.
Innholdsfortegnelse
BEARDSHELL og SLIMAGENT: En farlig duo
BEARDSHELL, utviklet i C++, ble først oppdaget mellom mars og april 2024, distribuert på et Windows-system sammen med et skjermbildeverktøy kalt SLIMAGENT. BEARDSHELLs funksjoner inkluderer å kjøre PowerShell-skript og laste opp den resulterende utdataen til en ekstern server ved hjelp av Icedrive API.
På tidspunktet for den første deteksjonen manglet CERT-UA klarhet i hvordan skadevaren infiltrerte systemet. Nylige funn, utløst av uautorisert tilgang til en «gov.ua»-e-postkonto, har imidlertid avslørt den opprinnelige angrepsvektoren som ble brukt i hendelsen i 2024. Denne grundigere etterforskningen bekreftet utplasseringen av både BEARDSHELL og et skadelig rammeverk kjent som COVENANT.
Infeksjonskjede: Makrobaserte dokumenter og DLL-nyttelaster
Angrepet starter med en signalmelding som inneholder et skadelig Microsoft Word-dokument med tittelen «Акт.doc». Dette dokumentet inneholder en innebygd makro som, når den er aktivert, leverer to komponenter:
- En skadelig DLL: ctec.dll
- Et forkledd PNG-bilde: windows.png
Makroen gjør deretter endringer i Windows-registeret for å sikre at DLL-filen kjører neste gang explorer.exe startes. Denne DLL-filen leser skallkoden som er skjult i PNG-bildet og utløser COVENANT-rammeverket for skadelig programvare, som ligger i minnet.
Etter aktivering fortsetter COVENANT med å laste ned og kjøre to mellomliggende nyttelaster som til slutt installerer BEARDSHELL-bakdøren, og gir vedvarende kontroll over det infiserte systemet.
COVENANT: Sofistikert rammeverk for skadelig programvare i aksjon
COVENANT-rammeverket spiller en sentral rolle i denne operasjonen, og fungerer som utførelsessenter for ytterligere skadelig programvare. Den modulære designen tillater fleksibel utrulling av nyttelaster, som i dette tilfellet fører direkte til utførelse av BEARDSHELL. Dette minneresidente rammeverket omgår tradisjonelle deteksjonsmekanismer, noe som gjør det spesielt farlig for målrettede miljøer.
Overvåkings- og tiltaksanbefalinger
For å redusere eksponering for denne kampanjen, anbefaler CERT-UA at myndigheter og bedriftsnettverk overvåker trafikk knyttet til følgende domener:
- app.koofr.net
- api.icedrive.net
Å være årvåken overfor utgående tilkoblinger til disse domenene kan bidra til å oppdage tidlige tegn på kompromittering.
Konklusjon: Vedvarende og utviklende trusler
APT28 fortsetter å forbedre angrepsteknikkene sine, og innlemmer moderne meldingsplattformer som Signal og kombinerer dem med sårbarheter i eldre systemer. Denne todelte tilnærmingen, som bruker både nyutviklet skadelig programvare og kjente utnyttelser, understreker gruppens utholdenhet og viktigheten av lagdelte cybersikkerhetsforsvar. Organisasjoner, spesielt offentlige etater, må være årvåkne og proaktivt overvåke nettverkstrafikk for indikatorer på kompromitterte sikkerhetstiltak.
