Oprogramowanie złośliwe BEARDSHELL
Zespół reagowania na incydenty komputerowe Ukrainy (CERT-UA) wydał ostrzeżenie o nowej kampanii cyberataków zorganizowanej przez APT28, grupę zagrożeń powiązaną z Rosją, znaną również jako UAC-0001. Ta operacja wykorzystuje wiadomości czatu Signal do dostarczania dwóch nowo zidentyfikowanych rodzin malware, śledzonych jako BEARDSHELL i COVENANT, co oznacza znaczącą ewolucję w taktyce grupy.
Spis treści
BEARDSHELL i SLIMAGENT: Niebezpieczny duet
BEARDSHELL, opracowany w C++, został po raz pierwszy wykryty między marcem a kwietniem 2024 r., wdrożony w systemie Windows wraz z narzędziem do przechwytywania zrzutów ekranu o nazwie SLIMAGENT. Możliwości BEARDSHELL obejmują wykonywanie skryptów PowerShell i przesyłanie wynikowego wyniku na zdalny serwer za pomocą interfejsu API Icedrive.
W momencie pierwszego wykrycia CERT-UA nie miało jasności co do tego, w jaki sposób złośliwe oprogramowanie zinfiltrowało system. Jednak ostatnie ustalenia, wywołane nieautoryzowanym dostępem do konta e-mail „gov.ua”, ujawniły początkowy wektor ataku użyty w incydencie z 2024 r. To głębsze dochodzenie potwierdziło wdrożenie zarówno BEARDSHELL, jak i struktury złośliwego oprogramowania znanej jako COVENANT.
Łańcuch infekcji: dokumenty z makrami i ładunki DLL
Atak rozpoczyna się od wiadomości Signal zawierającej złośliwy dokument Microsoft Word zatytułowany „Акт.doc”. Dokument ten obejmuje osadzone makro, które po aktywacji dostarcza dwa komponenty:
- Złośliwa biblioteka DLL: ctec.dll
- Zamaskowany obraz PNG: windows.png
Następnie makro wprowadza zmiany w rejestrze systemu Windows, aby upewnić się, że biblioteka DLL zostanie uruchomiona po następnym uruchomieniu explorer.exe. Ta biblioteka DLL odczytuje ukryty w obrazie PNG kod powłoki i uruchamia strukturę złośliwego oprogramowania COVENANT, która znajduje się w pamięci.
Po aktywacji COVENANT pobiera i uruchamia dwa ładunki pośrednie, które ostatecznie instalują tylne drzwi BEARDSHELL, zapewniając trwałą kontrolę nad zainfekowanym systemem.
COVENANT: Zaawansowana struktura ochrony przed złośliwym oprogramowaniem w akcji
Struktura COVENANT odgrywa centralną rolę w tej operacji, działając jako centrum wykonawcze dla dodatkowego złośliwego oprogramowania. Jej modułowa konstrukcja umożliwia elastyczne wdrażanie ładunków, w tym przypadku prowadząc bezpośrednio do wykonania BEARDSHELL. Ta struktura rezydująca w pamięci unika tradycyjnych mechanizmów wykrywania, co czyni ją szczególnie niebezpieczną dla docelowych środowisk.
Zalecenia dotyczące monitorowania i łagodzenia skutków
Aby ograniczyć ryzyko związane z tą kampanią, CERT-UA zaleca sieciom rządowym i przedsiębiorstwom monitorowanie ruchu związanego z następującymi domenami:
- aplikacja.koofr.net
- api.icedrive.net
Czujność w odniesieniu do połączeń wychodzących do tych domen może pomóc wykryć wczesne oznaki zagrożenia.
Wnioski: Trwałe i ewoluujące zagrożenia
APT28 nadal udoskonala swoje techniki ataków, włączając nowoczesne platformy komunikatów, takie jak Signal, i łącząc je z lukami w zabezpieczeniach starszych systemów. To dwutorowe podejście, wykorzystujące zarówno nowo opracowane złośliwe oprogramowanie, jak i znane exploity, podkreśla wytrwałość grupy i znaczenie wielowarstwowych zabezpieczeń cyberbezpieczeństwa. Organizacje, zwłaszcza agencje rządowe, muszą zachować czujność i proaktywnie monitorować ruch sieciowy pod kątem wskaźników zagrożenia.
