Programe malware BEARDSHELL
Echipa de intervenție în caz de urgență informatică din Ucraina (CERT-UA) a emis un avertisment cu privire la o nouă campanie de atacuri cibernetice orchestrată de APT28, un grup de amenințări legate de Rusia și cunoscut și sub numele de UAC-0001. Această operațiune folosește mesaje de chat Signal pentru a transmite două familii de programe malware nou identificate, denumite BEARDSHELL și COVENANT, marcând o evoluție notabilă în tacticile grupului.
Cuprins
BEARDSHELL și SLIMAGENT: Un duo periculos
BEARDSHELL, dezvoltat în C++, a fost detectat pentru prima dată între martie și aprilie 2024, implementat pe un sistem Windows alături de un instrument de captură de ecran numit SLIMAGENT. Capacitățile BEARDSHELL includ executarea de scripturi PowerShell și încărcarea rezultatului pe un server la distanță folosind API-ul Icedrive.
La momentul detectării inițiale, CERT-UA nu avea nicio claritate cu privire la modul în care malware-ul s-a infiltrat în sistem. Cu toate acestea, descoperiri recente, declanșate de accesul neautorizat la un cont de e-mail „gov.ua”, au dezvăluit vectorul inițial de atac utilizat în incidentul din 2024. Această investigație mai aprofundată a confirmat implementarea atât a BEARDSHELL, cât și a unui framework de malware cunoscut sub numele de COVENANT.
Lanțul de infecții: documente cu macrocomenzi și sarcini utile DLL
Atacul începe cu un mesaj Signal care conține un document Microsoft Word malițios intitulat „Акт.doc”. Acest document include o macrocomandă încorporată care, odată activată, oferă două componente:
- Un DLL rău intenționat: ctec.dll
- O imagine PNG deghizată: windows.png
Macroul efectuează apoi modificări în Registrul Windows pentru a se asigura că DLL-ul rulează la următoarea lansare a explorer.exe. Acest DLL citește codul shell ascuns în imaginea PNG și declanșează framework-ul de malware COVENANT, care se află în memorie.
După activare, COVENANT descarcă și execută două sarcini intermediare care instalează în cele din urmă backdoor-ul BEARDSHELL, oferind control persistent asupra sistemului infectat.
COVENANT: Cadru sofisticat împotriva programelor malware în acțiune
Framework-ul COVENANT joacă un rol central în această operațiune, acționând ca hub de execuție pentru malware suplimentar. Designul său modular permite implementarea flexibilă a sarcinilor utile, în acest caz ducând direct la executarea BEARDSHELL. Acest framework rezident în memorie evită mecanismele tradiționale de detectare, ceea ce îl face deosebit de periculos pentru mediile vizate.
Recomandări de monitorizare și atenuare
Pentru a reduce expunerea la această campanie, CERT-UA recomandă rețelelor guvernamentale și de întreprindere să monitorizeze traficul asociat cu următoarele domenii:
- app.koofr.net
- api.icedrive.net
Vigilența în ceea ce privește conexiunile de ieșire către aceste domenii ar putea ajuta la detectarea semnelor timpurii de compromitere.
Concluzie: Amenințări persistente și în evoluție
APT28 continuă să își perfecționeze tehnicile de atac, încorporând platforme moderne de mesagerie precum Signal și combinându-le cu vulnerabilități ale sistemelor vechi. Această abordare dublă, care utilizează atât programe malware nou dezvoltate, cât și exploatări cunoscute, subliniază persistența grupului și importanța apărării cibernetice stratificate. Organizațiile, în special agențiile guvernamentale, trebuie să rămână alerte și să monitorizeze proactiv traficul de rețea pentru indicatori de compromitere.
