Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware BEARDSHELL Malware

BEARDSHELL Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës (CERT-UA) ka lëshuar një paralajmërim në lidhje me një fushatë të re sulmi kibernetik të orkestruar nga APT28, një grup kërcënimesh i lidhur me Rusinë dhe i njohur edhe si UAC-0001. Ky operacion përdor mesazhe chat Signal për të shpërndarë dy familje të sapoidentifikuara të programeve keqdashëse, të gjurmuara si BEARDSHELL dhe COVENANT, duke shënuar një evolucion të dukshëm në taktikat e grupit.

BEARDSHELL dhe SLIMAGENT: Një dyshe e rrezikshme

BEARDSHELL, i zhvilluar në C++, u zbulua për herë të parë midis marsit dhe prillit 2024, i vendosur në një sistem Windows së bashku me një mjet për kapjen e pamjeve të ekranit të quajtur SLIMAGENT. Aftësitë e BEARDSHELL përfshijnë ekzekutimin e skripteve PowerShell dhe ngarkimin e rezultatit në një server të largët duke përdorur API-në Icedrive.

Në kohën e zbulimit fillestar, CERT-UA nuk kishte qartësi se si malware-i u infiltrua në sistem. Megjithatë, gjetjet e fundit, të nxitura nga qasja e paautorizuar në një llogari email-i 'gov.ua', kanë zbuluar vektorin fillestar të sulmit të përdorur në incidentin e vitit 2024. Ky hetim më i thellë konfirmoi vendosjen si të BEARDSHELL-it ashtu edhe të një kuadri malware të njohur si COVENANT.

Zinxhiri i Infeksionit: Dokumente të Lidhura me Makro dhe Ngarkesa DLL

Sulmi fillon me një mesazh Signal që përmban një dokument keqdashës të Microsoft Word të titulluar 'Акт.doc'. Ky dokument përfshin një makro të integruar që, pasi aktivizohet, ofron dy komponentë:

  • Një DLL keqdashëse: ctec.dll
  • Një imazh PNG i maskuar: windows.png

Pastaj makroja bën ndryshime në Regjistrin e Windows për të siguruar që DLL të funksionojë kur të hapet explorer.exe herën tjetër. Kjo DLL lexon shellcode të fshehur në imazhin PNG dhe aktivizon framework-un e malware COVENANT, i cili ndodhet në memorie.

Pas aktivizimit, COVENANT vazhdon me shkarkimin dhe ekzekutimin e dy ngarkesave të ndërmjetme që në fund instalojnë derën e pasme BEARDSHELL, duke i dhënë kontroll të vazhdueshëm sistemit të infektuar.

COVENANT: Kornizë e sofistikuar kundër malware-it në veprim

Korniza COVENANT luan një rol qendror në këtë operacion, duke vepruar si qendra e ekzekutimit për programe të tjera keqdashëse. Dizajni i saj modular lejon vendosjen fleksibile të ngarkesave, duke çuar në këtë rast direkt në ekzekutimin e BEARDSHELL. Kjo kornizë rezidente në memorie shmang mekanizmat tradicionalë të zbulimit, duke e bërë atë veçanërisht të rrezikshëm për mjediset e synuara.

Rekomandime për Monitorimin dhe Zbutjen

Për të zvogëluar ekspozimin ndaj kësaj fushate, CERT-UA këshillon rrjetet qeveritare dhe të ndërmarrjeve që të monitorojnë trafikun e lidhur me domenet e mëposhtme:

  • app.koofr.net
  • api.icedrive.net

Të qenit vigjilent në lidhje me lidhjet dalëse me këto domene mund të ndihmojë në zbulimin e shenjave të hershme të kompromentimit.

Përfundim: Kërcënime të vazhdueshme dhe në zhvillim

APT28 vazhdon të përsosë teknikat e saj të sulmit, duke përfshirë platforma moderne të mesazheve si Signal dhe duke i kombinuar ato me dobësitë e sistemit të trashëguar. Kjo qasje e dyfishtë, duke përdorur si programe keqdashëse të zhvilluara rishtazi ashtu edhe shfrytëzime të njohura, nënvizon këmbënguljen e grupit dhe rëndësinë e mbrojtjeve të shtresuara të sigurisë kibernetike. Organizatat, veçanërisht agjencitë qeveritare, duhet të qëndrojnë vigjilente dhe të monitorojnë në mënyrë proaktive trafikun e rrjetit për tregues të kompromentimit.

Në trend

Më e shikuara

Po ngarkohet...