BEARDSHELL मालवेयर
युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) ले APT28 द्वारा आयोजित नयाँ साइबर आक्रमण अभियानको बारेमा चेतावनी जारी गरेको छ, जुन रूससँग सम्बन्धित र UAC-0001 को रूपमा पनि चिनिने खतरा समूह हो। यो अपरेशनले BEARDSHELL र COVENANT को रूपमा ट्र्याक गरिएका दुई नयाँ पहिचान गरिएका मालवेयर परिवारहरू डेलिभर गर्न सिग्नल च्याट सन्देशहरू प्रयोग गर्दछ, जसले समूहको रणनीतिमा उल्लेखनीय विकासलाई चिन्ह लगाउँछ।
सामग्रीको तालिका
बियरडशेल र स्लाइमेजेन्ट: एक खतरनाक जोडी
C++ मा विकसित BEARDSHELL, पहिलो पटक मार्च र अप्रिल २०२४ को बीचमा पत्ता लागेको थियो, जुन SLIMAGENT नामक स्क्रिनसट-क्याप्चरिङ उपकरणसँगै Windows प्रणालीमा तैनाथ गरिएको थियो। BEARDSHELL को क्षमताहरूमा PowerShell स्क्रिप्टहरू कार्यान्वयन गर्ने र Icedrive API प्रयोग गरेर रिमोट सर्भरमा परिणामस्वरूप आउटपुट अपलोड गर्ने समावेश छ।
प्रारम्भिक पत्ता लगाउने समयमा, CERT-UA मा मालवेयरले प्रणालीमा कसरी घुसपैठ गर्यो भन्ने बारे स्पष्टताको अभाव थियो। यद्यपि, 'gov.ua' इमेल खातामा अनधिकृत पहुँचबाट उत्पन्न हालैका खोजहरूले २०२४ को घटनामा प्रयोग गरिएको प्रारम्भिक आक्रमण भेक्टरको खुलासा गरेको छ। यो गहिरो अनुसन्धानले BEARDSHELL र COVENANT भनेर चिनिने मालवेयर फ्रेमवर्क दुवैको तैनाती पुष्टि गर्यो।
संक्रमण श्रृंखला: म्याक्रो-लेस्ड कागजातहरू र DLL पेलोडहरू
आक्रमण 'Акт.doc' शीर्षकको दुर्भावनापूर्ण माइक्रोसफ्ट वर्ड कागजात भएको सिग्नल सन्देशबाट सुरु हुन्छ। यस कागजातमा एक इम्बेडेड म्याक्रो समावेश छ जुन एक पटक सक्रिय भएपछि, दुई घटकहरू प्रदान गर्दछ:
- एउटा दुर्भावनापूर्ण DLL: ctec.dll
- एउटा लुकेको PNG छवि: windows.png
त्यसपछि म्याक्रोले explorer.exe अर्को पटक सुरु हुँदा DLL चल्छ भनी सुनिश्चित गर्न Windows Registry मा परिवर्तनहरू गर्छ। यो DLL ले PNG छविमा लुकेको शेलकोड पढ्छ र मेमोरीमा रहेको COVENANT मालवेयर फ्रेमवर्कलाई ट्रिगर गर्छ।
सक्रियता पछि, COVENANT ले दुई मध्यवर्ती पेलोडहरू डाउनलोड र कार्यान्वयन गर्न अगाडि बढ्छ जसले अन्ततः BEARDSHELL ब्याकडोर स्थापना गर्दछ, जसले संक्रमित प्रणालीमा निरन्तर नियन्त्रण प्रदान गर्दछ।
करार: परिष्कृत मालवेयर फ्रेमवर्क कार्यमा
यस अपरेशनमा COVENANT फ्रेमवर्कले केन्द्रीय भूमिका खेल्छ, अतिरिक्त मालवेयरको लागि कार्यान्वयन केन्द्रको रूपमा काम गर्दछ। यसको मोड्युलर डिजाइनले पेलोडहरूको लचिलो तैनातीलाई अनुमति दिन्छ, यस अवस्थामा सिधै BEARDSHELL को कार्यान्वयनमा नेतृत्व गर्दछ। यो मेमोरी-रेसिडेन्ट फ्रेमवर्कले परम्परागत पत्ता लगाउने संयन्त्रहरूलाई बेवास्ता गर्छ, जसले गर्दा लक्षित वातावरणको लागि यो विशेष गरी खतरनाक हुन्छ।
अनुगमन र न्यूनीकरण सिफारिसहरू
यस अभियानको जोखिम कम गर्न, CERT-UA ले सरकार र उद्यम नेटवर्कहरूलाई निम्न डोमेनहरूसँग सम्बन्धित ट्राफिक निगरानी गर्न सल्लाह दिन्छ:
- एप.कोफ्र.नेट
- api.icedrive.net मा जानुहोस्।
यी डोमेनहरूमा आउटबाउन्ड जडानहरूको बारेमा सतर्क रहनाले सम्झौताको प्रारम्भिक संकेतहरू पत्ता लगाउन मद्दत गर्न सक्छ।
निष्कर्ष: निरन्तर र विकसित हुँदै गइरहेका खतराहरू
APT28 ले सिग्नल जस्ता आधुनिक सन्देश प्लेटफर्महरू समावेश गर्दै र तिनीहरूलाई लिगेसी प्रणाली कमजोरीहरूसँग संयोजन गर्दै आफ्नो आक्रमण प्रविधिहरूलाई परिष्कृत गर्न जारी राखेको छ। यो दोहोरो-मुखी दृष्टिकोण, नयाँ विकसित मालवेयर र ज्ञात शोषणहरू दुवै प्रयोग गरेर, समूहको दृढता र स्तरित साइबर सुरक्षा प्रतिरक्षाको महत्त्वलाई जोड दिन्छ। संस्थाहरू, विशेष गरी सरकारी एजेन्सीहरू, सतर्क रहनुपर्छ र सम्झौताका सूचकहरूको लागि नेटवर्क ट्राफिकको सक्रिय रूपमा निगरानी गर्नुपर्छ।
