Злонамерни софтвер BEARDSHELL
Тим за реаговање на компјутерске ванредне ситуације Украјине (CERT-UA) издао је упозорење о новој кампањи сајбер напада коју је оркестрирала APT28, група претњи повезана са Русијом, позната и као UAC-0001. Ова операција користи Signal чет поруке за испоруку две новоидентификоване породице малвера, праћене као BEARDSHELL и COVENANT, што означава значајну еволуцију у тактикама групе.
Преглед садржаја
BEARDSHELL и SLIMAGENT: Опасан дуо
BEARDSHELL, развијен у C++ језику, први пут је откривен између марта и априла 2024. године, распоређен на Windows систему заједно са алатом за снимање екрана под називом SLIMAGENT. Могућности BEARDSHELL-а укључују извршавање PowerShell скрипти и отпремање резултујућег излаза на удаљени сервер помоћу Icedrive API-ја.
У време почетног откривања, CERT-UA није имао јасноће о томе како је злонамерни софтвер инфилтрирао систем. Међутим, недавна открића, изазвана неовлашћеним приступом имејл налогу „gov.ua“, открила су почетни вектор напада који је коришћен у инциденту из 2024. године. Ова дубља истрага потврдила је примену и BEARDSHELL-а и оквира злонамерног софтвера познатог као COVENANT.
Ланац инфекције: Документи повезани са макроима и DLL корисни оптерећења
Напад почиње поруком Signal која садржи злонамерни Microsoft Word документ под називом „Акт.doc“. Овај документ садржи уграђени макро који, након активирања, испоручује две компоненте:
- Злонамерна DLL датотека: ctec.dll
- Маскирана PNG слика: windows.png
Макро затим мења Windows регистар како би се осигурало да се DLL покрене када се explorer.exe следећи пут покрене. Овај DLL чита шелкод скривен у PNG слици и покреће COVENANT фрејмворк злонамерног софтвера, који се налази у меморији.
Након активације, COVENANT наставља са преузимањем и извршавањем два међупрограмска пакета који на крају инсталирају BEARDSHELL бекдор, пружајући трајну контролу над зараженим системом.
ЗАВЕТ: Софистицирани оквир за злонамерни софтвер у акцији
Оквир COVENANT игра централну улогу у овој операцији, делујући као центар за извршавање додатног злонамерног софтвера. Његов модуларни дизајн омогућава флексибилно распоређивање корисних оптерећења, што у овом случају директно доводи до извршавања BEARDSHELL-а. Овај резидентни оквир у меморији избегава традиционалне механизме детекције, што га чини посебно опасним за циљана окружења.
Препоруке за праћење и ублажавање
Да би се смањила изложеност овој кампањи, CERT-UA саветује владиним и пословним мрежама да прате саобраћај повезан са следећим доменима:
- апликација.koofr.net
- api.icedrive.net
Будна опрезност у вези са одлазним везама ка овим доменима могла би помоћи у откривању раних знакова компромитовања.
Закључак: Упорне и еволуирајуће претње
APT28 наставља да усавршава своје технике напада, укључујући модерне платформе за размену порука попут Signal-а и комбинујући их са рањивостима застарелих система. Овај двоструки приступ, који користи и новоразвијени злонамерни софтвер и познате експлоите, наглашава упорност групе и важност слојевите сајбер безбедносне одбране. Организације, посебно владине агенције, морају бити на опрезу и проактивно пратити мрежни саобраћај у потрази за индикаторима компромитовања.
