Rabattoffert för flera licenser
Hotdatabas Skadlig programvara BEARDSHELL-skadlig programvara

BEARDSHELL-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

Ukrainas insatsstyrka för datorberedskap (CERT-UA) har utfärdat en varning om en ny cyberattackkampanj iscensatt av APT28, en hotgrupp kopplad till Ryssland och även känd som UAC-0001. Denna operation använder Signal-chattmeddelanden för att leverera två nyligen identifierade familjer av skadlig kod, spårade som BEARDSHELL och COVENANT, vilket markerar en anmärkningsvärd utveckling i gruppens taktik.

BEARDSHELL och SLIMAGENT: En farlig duo

BEARDSHELL, utvecklat i C++, upptäcktes först mellan mars och april 2024, distribuerat på ett Windows-system tillsammans med ett skärmdumpsverktyg som heter SLIMAGENT. BEARDSHELLs funktioner inkluderar att köra PowerShell-skript och ladda upp den resulterande utdata till en fjärrserver med hjälp av Icedrive API.

Vid tidpunkten för den första upptäckten saknade CERT-UA klarhet i hur skadlig programvara infiltrerade systemet. Nya fynd, utlösta av obehörig åtkomst till ett e-postkonto på gov.ua, har dock avslöjat den initiala attackvektorn som användes i incidenten 2024. Denna djupare utredning bekräftade driftsättningen av både BEARDSHELL och ett ramverk för skadlig programvara som kallas COVENANT.

Infektionskedja: Makrokopplade dokument och DLL-nyttolaster

Attacken börjar med ett signalmeddelande som innehåller ett skadligt Microsoft Word-dokument med titeln 'Акт.doc'. Detta dokument innehåller ett inbäddat makro som, när det aktiveras, levererar två komponenter:

  • En skadlig DLL: ctec.dll
  • En förklädd PNG-bild: windows.png

Makrot gör sedan ändringar i Windows-registret för att säkerställa att DLL-filen körs nästa gång explorer.exe startas. Denna DLL läser skalkod som är dold i PNG-bilden och utlöser COVENANT-ramverket för skadlig programvara, som finns i minnet.

Efter aktivering fortsätter COVENANT att ladda ner och köra två mellanliggande nyttolaster som slutligen installerar BEARDSHELL-bakdörren, vilket ger bestående kontroll över det infekterade systemet.

COVENANT: Sofistikerat ramverk för skadlig kod i praktiken

COVENANT-ramverket spelar en central roll i denna operation och fungerar som exekveringsnav för ytterligare skadlig kod. Dess modulära design möjliggör flexibel distribution av nyttolaster, vilket i detta fall leder direkt till exekveringen av BEARDSHELL. Detta minnesresidenta ramverk kringgår traditionella detekteringsmekanismer, vilket gör det särskilt farligt för utvalda miljöer.

Rekommendationer för övervakning och begränsning

För att minska exponeringen för denna kampanj rekommenderar CERT-UA myndigheter och företagsnätverk att övervaka trafik kopplad till följande domäner:

  • app.koofr.net
  • api.icedrive.net

Att vara vaksam på utgående anslutningar till dessa domäner kan hjälpa till att upptäcka tidiga tecken på kompromisser.

Slutsats: Ihållande och föränderliga hot

APT28 fortsätter att förfina sina attacktekniker och integrerar moderna meddelandeplattformar som Signal och kombinerar dem med sårbarheter i äldre system. Denna tvådelade strategi, som använder både nyutvecklad skadlig kod och kända attacker, understryker gruppens uthållighet och vikten av flera lager av cybersäkerhetsförsvar. Organisationer, särskilt myndigheter, måste vara uppmärksamma och proaktivt övervaka nätverkstrafik för att hitta tecken på kompromisser.

Trendigt

Mest sedda

Läser in...