Вредоносное ПО BEARDSHELL
Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выпустила предупреждение о новой кампании кибератак, организованной APT28, группой угроз, связанной с Россией и также известной как UAC-0001. Эта операция использует сообщения чата Signal для доставки двух недавно идентифицированных семейств вредоносных программ, отслеживаемых как BEARDSHELL и COVENANT, что знаменует собой заметную эволюцию в тактике группы.
Оглавление
BEARDSHELL и SLIMAGENT: опасный дуэт
BEARDSHELL, разработанный на языке C++, был впервые обнаружен в период с марта по апрель 2024 года, развернут в системе Windows вместе с инструментом для захвата скриншотов под названием SLIMAGENT. Возможности BEARDSHELL включают выполнение скриптов PowerShell и загрузку полученного вывода на удаленный сервер с помощью API Icedrive.
На момент первоначального обнаружения CERT-UA не было ясности относительно того, как вредоносное ПО проникло в систему. Однако недавние выводы, вызванные несанкционированным доступом к учетной записи электронной почты «gov.ua», выявили первоначальный вектор атаки, использованный в инциденте 2024 года. Это более глубокое расследование подтвердило развертывание как BEARDSHELL, так и вредоносного фреймворка, известного как COVENANT.
Цепочка заражения: документы с макросами и полезные нагрузки DLL
Атака начинается с сообщения Signal, содержащего вредоносный документ Microsoft Word под названием «Акт.doc». Этот документ включает в себя встроенный макрос, который после активации доставляет два компонента:
- Вредоносная DLL: ctec.dll
- Замаскированное изображение PNG: windows.png
Затем макрос вносит изменения в реестр Windows, чтобы обеспечить запуск DLL при следующем запуске explorer.exe. Эта DLL считывает шеллкод, скрытый в изображении PNG, и запускает вредоносную среду COVENANT, которая находится в памяти.
После активации COVENANT приступает к загрузке и выполнению двух промежуточных полезных нагрузок, которые в конечном итоге устанавливают бэкдор BEARDSHELL, предоставляя постоянный контроль над зараженной системой.
COVENANT: сложная вредоносная структура в действии
Фреймворк COVENANT играет центральную роль в этой операции, выступая в качестве центра выполнения для дополнительного вредоносного ПО. Его модульная конструкция обеспечивает гибкое развертывание полезных нагрузок, в данном случае приводящее непосредственно к выполнению BEARDSHELL. Этот резидентный в памяти фреймворк обходит традиционные механизмы обнаружения, что делает его особенно опасным для целевых сред.
Рекомендации по мониторингу и смягчению последствий
Чтобы снизить подверженность этой кампании, CERT-UA рекомендует правительственным и корпоративным сетям контролировать трафик, связанный со следующими доменами:
- app.koofr.net
- api.icedrive.net
Бдительность в отношении исходящих подключений к этим доменам может помочь обнаружить ранние признаки взлома.
Заключение: постоянные и меняющиеся угрозы
APT28 продолжает совершенствовать свои методы атак, включая современные платформы обмена сообщениями, такие как Signal, и комбинируя их с уязвимостями устаревших систем. Этот двусторонний подход, использующий как недавно разработанное вредоносное ПО, так и известные эксплойты, подчеркивает настойчивость группы и важность многоуровневой защиты кибербезопасности. Организации, особенно государственные учреждения, должны быть начеку и активно отслеживать сетевой трафик на предмет признаков компрометации.
