Malvér BEARDSHELL
Ukrajinský tím pre reakciu na počítačové núdzové situácie (CERT-UA) vydal varovanie pred novou kybernetickou útočnou kampaňou, ktorú zorganizovala skupina APT28, ktorá je prepojená s Ruskom a známa aj ako UAC-0001. Táto operácia využíva chatové správy Signal na doručovanie dvoch novo identifikovaných rodín malvéru, sledovaných ako BEARDSHELL a COVENANT, čo predstavuje významný vývoj v taktike skupiny.
Obsah
BEARDSHELL a SLIMAGENT: Nebezpečné duo
BEARDSHELL, vyvinutý v jazyku C++, bol prvýkrát zistený medzi marcom a aprílom 2024, keď bol nasadený na systéme Windows spolu s nástrojom na zachytávanie snímok obrazovky s názvom SLIMAGENT. Medzi možnosti BEARDSHELL patrí spúšťanie skriptov PowerShell a nahrávanie výsledného výstupu na vzdialený server pomocou rozhrania Icedrive API.
V čase prvotnej detekcie CERT-UA nemal jasno v tom, ako sa malvér dostal do systému. Nedávne zistenia, ktoré vyvolal neoprávnený prístup k e-mailovému účtu „gov.ua“, však odhalili pôvodný vektor útoku použitý pri incidente v roku 2024. Toto hlbšie vyšetrovanie potvrdilo nasadenie BEARDSHELL aj malvérového frameworku známeho ako COVENANT.
Reťazec infekcie: Dokumenty a užitočné dáta DLL prepojené makrom
Útok začína správou Signal obsahujúcou škodlivý dokument programu Microsoft Word s názvom „Акт.doc“. Tento dokument obsahuje vložené makro, ktoré po aktivácii doručí dve komponenty:
- Škodlivá knižnica DLL: ctec.dll
- Zamaskovaný obrázok PNG: windows.png
Makro potom vykoná zmeny v registri systému Windows, aby sa zabezpečilo spustenie knižnice DLL pri ďalšom spustení súboru explorer.exe. Táto knižnica DLL prečíta shellcode skrytý v obrázku PNG a spustí malvérový framework COVENANT, ktorý sa nachádza v pamäti.
Po aktivácii COVENANT stiahne a spustí dva prechodné dátové súbory, ktoré nakoniec nainštalujú zadné vrátka BEARDSHELL a poskytnú tak trvalú kontrolu nad infikovaným systémom.
ZMLUVA: Sofistikovaný systém proti malvéru v akcii
Rámec COVENANT zohráva v tejto operácii ústrednú úlohu a slúži ako centrum pre vykonávanie ďalšieho malvéru. Jeho modulárny dizajn umožňuje flexibilné nasadenie užitočného zaťaženia, čo v tomto prípade vedie priamo k spusteniu BEARDSHELL. Tento rezidentný rámec v pamäti sa vyhýba tradičným detekčným mechanizmom, čo ho robí obzvlášť nebezpečným pre cieľové prostredia.
Odporúčania pre monitorovanie a zmierňovanie
Aby sa znížilo vystavenie tejto kampani, CERT-UA odporúča vládnym a podnikovým sieťam monitorovať prevádzku spojenú s nasledujúcimi doménami:
- app.koofr.net
- api.icedrive.net
Ostražitosť pri odchádzajúcich pripojeniach k týmto doménam by mohla pomôcť odhaliť včasné známky kompromitácie.
Záver: Pretrvávajúce a vyvíjajúce sa hrozby
APT28 naďalej zdokonaľuje svoje útočné techniky, začleňuje moderné platformy na odosielanie správ, ako je Signal, a kombinuje ich so zraniteľnosťami starších systémov. Tento dvojaký prístup, využívajúci novovyvinutý malvér aj známe exploity, podčiarkuje vytrvalosť skupiny a dôležitosť viacvrstvovej kybernetickej obrany. Organizácie, najmä vládne agentúry, musia zostať ostražití a proaktívne monitorovať sieťovú prevádzku, aby zistili indikátory kompromitácie.
