Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware BEARDSHELL-malware

BEARDSHELL-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Het Oekraïense Computer Emergency Response Team (CERT-UA) heeft een waarschuwing afgegeven over een nieuwe cyberaanvalcampagne georkestreerd door APT28, een aan Rusland gelinkte dreigingsgroep die ook bekendstaat als UAC-0001. Deze operatie maakt gebruik van chatberichten van Signal om twee nieuw geïdentificeerde malwarefamilies te verspreiden, bekend als BEARDSHELL en COVENANT, wat een opmerkelijke evolutie in de tactieken van de groep markeert.

BEARDSHELL en SLIMAGENT: een gevaarlijk duo

BEARDSHELL, ontwikkeld in C++, werd voor het eerst gedetecteerd tussen maart en april 2024, geïmplementeerd op een Windows-systeem samen met een screenshottool genaamd SLIMAGENT. BEARDSHELL kan PowerShell-scripts uitvoeren en de resulterende uitvoer uploaden naar een externe server met behulp van de Icedrive API.

Ten tijde van de eerste detectie had CERT-UA geen duidelijkheid over hoe de malware het systeem had geïnfiltreerd. Recente bevindingen, veroorzaakt door ongeautoriseerde toegang tot een 'gov.ua'-e-mailaccount, hebben echter de oorspronkelijke aanvalsmethode onthuld die in het incident uit 2024 werd gebruikt. Dit diepgaandere onderzoek bevestigde de implementatie van zowel BEARDSHELL als een malwareframework genaamd COVENANT.

Infectieketen: macro-geïntegreerde documenten en DLL-payloads

De aanval begint met een Signal-bericht met daarin een schadelijk Microsoft Word-document met de naam 'Акт.doc'. Dit document bevat een ingebedde macro die, na activering, twee componenten levert:

  • Een kwaadaardige DLL: ctec.dll
  • Een vermomde PNG-afbeelding: windows.png

De macro brengt vervolgens wijzigingen aan in het Windows-register om ervoor te zorgen dat de DLL wordt uitgevoerd wanneer explorer.exe de volgende keer wordt gestart. Deze DLL leest shellcode die verborgen is in de PNG-afbeelding en activeert het malwareframework COVENANT, dat zich in het geheugen bevindt.

Na activering gaat COVENANT over tot het downloaden en uitvoeren van twee tussenliggende payloads die uiteindelijk de BEARDSHELL-backdoor installeren, waardoor blijvende controle over het geïnfecteerde systeem ontstaat.

COVENANT: Geavanceerd malware-framework in actie

Het COVENANT-framework speelt een centrale rol in deze operatie en fungeert als de uitvoeringshub voor aanvullende malware. Het modulaire ontwerp maakt flexibele implementatie van payloads mogelijk, wat in dit geval direct leidt tot de uitvoering van BEARDSHELL. Dit geheugenresidente framework omzeilt traditionele detectiemechanismen, waardoor het bijzonder gevaarlijk is voor doelomgevingen.

Aanbevelingen voor monitoring en mitigatie

Om de blootstelling aan deze campagne te beperken, adviseert CERT-UA overheids- en bedrijfsnetwerken om het verkeer te monitoren dat is gekoppeld aan de volgende domeinen:

  • app.koofr.net
  • api.icedrive.net

Door waakzaam te zijn bij uitgaande verbindingen met deze domeinen, kunt u mogelijk vroegtijdig signalen van een inbreuk op uw identiteit opsporen.

Conclusie: aanhoudende en evoluerende bedreigingen

APT28 blijft zijn aanvalstechnieken verfijnen door moderne berichtenplatforms zoals Signal te integreren en te combineren met kwetsbaarheden in oudere systemen. Deze tweeledige aanpak, waarbij zowel nieuw ontwikkelde malware als bekende exploits worden gebruikt, onderstreept de vasthoudendheid van de groep en het belang van gelaagde cyberbeveiliging. Organisaties, met name overheidsinstanties, moeten alert blijven en proactief het netwerkverkeer monitoren op aanwijzingen voor een mogelijke inbreuk.

Trending

Meest bekeken

Bezig met laden...