Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema BEARDSHELL

Zlonamerna programska oprema BEARDSHELL

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Ukrajinska ekipa za odzivanje na računalniške izredne razmere (CERT-UA) je izdala opozorilo o novi kampanji kibernetskih napadov, ki jo je organizirala APT28, skupina za grožnje, povezana z Rusijo in znana tudi kot UAC-0001. Ta operacija uporablja sporočila klepeta Signal za dostavo dveh na novo odkritih družin zlonamerne programske opreme, ki jih sledimo kot BEARDSHELL in COVENANT, kar pomeni opazen razvoj taktik skupine.

BEARDSHELL in SLIMAGENT: Nevaren duo

BEARDSHELL, razvit v jeziku C++, je bil prvič zaznan med marcem in aprilom 2024, nameščen v sistemu Windows skupaj z orodjem za zajemanje posnetkov zaslona z imenom SLIMAGENT. Zmogljivosti BEARDSHELL vključujejo izvajanje skriptov PowerShell in nalaganje nastalega izhoda na oddaljeni strežnik z uporabo API-ja Icedrive.

Ob prvem odkritju CERT-UA ni imel jasnosti o tem, kako je zlonamerna programska oprema prodrla v sistem. Vendar pa so nedavne ugotovitve, ki jih je sprožil nepooblaščen dostop do e-poštnega računa »gov.ua«, razkrile začetni vektor napada, uporabljen v incidentu leta 2024. Ta poglobljena preiskava je potrdila uporabo tako BEARDSHELL kot ogrodja zlonamerne programske opreme, znanega kot COVENANT.

Veriga okužbe: dokumenti, povezani z makroji, in koristni podatki DLL

Napad se začne s sporočilom Signal, ki vsebuje zlonamerni dokument Microsoft Word z naslovom »Акт.doc«. Ta dokument vsebuje vdelani makro, ki po aktivaciji dostavi dve komponenti:

  • Zlonamerna datoteka DLL: ctec.dll
  • Prikrita slika PNG: windows.png

Makro nato spremeni register sistema Windows, da zagotovi, da se DLL zažene ob naslednjem zagonu datoteke explorer.exe. Ta DLL prebere kodo shellcode, skrito v sliki PNG, in sproži ogrodje zlonamerne programske opreme COVENANT, ki se nahaja v pomnilniku.

Po aktivaciji COVENANT prenese in izvede dva vmesna koristna nalaganja, ki na koncu namestita zadnja vrata BEARDSHELL in jim omogočita trajen nadzor nad okuženim sistemom.

ZAVEZ: Sofisticiran okvir za boj proti zlonamerni programski opremi v akciji

Ogrodje COVENANT igra osrednjo vlogo v tej operaciji, saj deluje kot središče za izvajanje dodatne zlonamerne programske opreme. Njegova modularna zasnova omogoča prilagodljivo namestitev koristnih tovorov, kar v tem primeru vodi neposredno do izvajanja BEARDSHELL. Ta ogrodje, ki je rezidentno v pomnilniku, se izogne tradicionalnim mehanizmom zaznavanja, zaradi česar je še posebej nevarno za ciljna okolja.

Priporočila za spremljanje in blaženje

Da bi zmanjšali izpostavljenost tej kampanji, CERT-UA svetuje vladnim in poslovnim omrežjem, naj spremljajo promet, povezan z naslednjimi domenami:

  • aplikacija.koofr.net
  • api.icedrive.net

Če ste pozorni na odhodne povezave do teh domen, lahko odkrijete zgodnje znake ogroženosti.

Zaključek: Vztrajne in razvijajoče se grožnje

APT28 še naprej izpopolnjuje svoje tehnike napadov, vključuje sodobne platforme za sporočanje, kot je Signal, in jih združuje z ranljivostmi starejših sistemov. Ta dvojni pristop, ki uporablja tako novo razvito zlonamerno programsko opremo kot znane izkoriščanja, poudarja vztrajnost skupine in pomen večplastne kibernetske varnostne obrambe. Organizacije, zlasti vladne agencije, morajo ostati pozorne in proaktivno spremljati omrežni promet za znake ogrožanja.

V trendu

Najbolj gledan

Nalaganje...