Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware BEARDSHELL

Malware BEARDSHELL

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um alerta sobre uma nova campanha de ataque cibernético orquestrada pelo APT28, um grupo de ameaças ligado à Rússia e também conhecido como UAC-0001. Esta operação utiliza mensagens de bate-papo do Signal para enviar duas famílias de malware recém-identificadas, rastreadas como BEARDSHELL e COVENANT, marcando uma evolução notável nas táticas do grupo.

BEARDSHELL e SLIMAGENT: Uma Dupla Perigosa

O BEARDSHELL, desenvolvido em C++, foi detectado pela primeira vez entre março e abril de 2024, implantado em um sistema Windows juntamente com uma ferramenta de captura de tela chamada SLIMAGENT. Os recursos do BEARDSHELL incluem a execução de scripts do PowerShell e o upload da saída resultante para um servidor remoto usando a API Icedrive.

No momento da detecção inicial, o CERT-UA não tinha clareza sobre como o malware se infiltrou no sistema. No entanto, descobertas recentes, desencadeadas por acesso não autorizado a uma conta de e-mail "gov.ua", revelaram o vetor de ataque inicial usado no incidente de 2024. Esta investigação mais aprofundada confirmou a implantação do BEARDSHELL e de uma estrutura de malware conhecida como COVENANT.

Cadeia de infecção: documentos com macros e payloads de DLL

O ataque começa com uma mensagem do Signal contendo um documento malicioso do Microsoft Word intitulado "Акт.doc". Este documento inclui uma macro incorporada que, uma vez ativada, entrega dois componentes:

  • Uma DLL maliciosa: ctec.dll
  • Uma imagem PNG disfarçada: windows.png

A macro então faz alterações no Registro do Windows para garantir que a DLL seja executada na próxima vez que o explorer.exe for iniciado. Essa DLL lê o shellcode oculto na imagem PNG e aciona a estrutura do malware COVENANT, que reside na memória.

Após a ativação, o COVENANT baixa e executa duas cargas intermediárias que, por fim, instalam o backdoor BEARDSHELL, garantindo controle persistente sobre o sistema infectado.

COVENANT: Estrutura sofisticada de malware em ação

A estrutura COVENANT desempenha um papel central nessa operação, atuando como o centro de execução de malware adicional. Seu design modular permite a implantação flexível de payloads, neste caso levando diretamente à execução do BEARDSHELL. Essa estrutura residente na memória escapa dos mecanismos tradicionais de detecção, tornando-a particularmente perigosa para os ambientes alvo.

Recomendações de Monitoramento e Mitigação

Para reduzir a exposição a esta campanha, o CERT-UA aconselha as redes governamentais e empresariais a monitorar o tráfego associado aos seguintes domínios:

  • app.koofr.net
  • api.icedrive.net

Estar atento às conexões de saída para esses domínios pode ajudar a detectar sinais precoces de comprometimento.

Conclusão: Ameaças persistentes e em evolução

O APT28 continua a aprimorar suas técnicas de ataque, incorporando plataformas de mensagens modernas como o Signal e combinando-as com vulnerabilidades de sistemas legados. Essa abordagem dupla, utilizando malware recém-desenvolvido e exploits conhecidos, ressalta a persistência do grupo e a importância de defesas de segurança cibernética em camadas. Organizações, especialmente agências governamentais, devem permanecer alertas e monitorar proativamente o tráfego de rede em busca de indicadores de comprometimento.

Tendendo

Mais visto

Carregando...