BEARDSHELL தீம்பொருள்

ரஷ்யாவுடன் இணைக்கப்பட்ட மற்றும் UAC-0001 என்றும் அழைக்கப்படும் அச்சுறுத்தல் குழுவான APT28 ஆல் திட்டமிடப்பட்ட புதிய சைபர் தாக்குதல் பிரச்சாரம் குறித்து உக்ரைனின் கணினி அவசரகால பதிலளிப்பு குழு (CERT-UA) எச்சரிக்கை விடுத்துள்ளது. இந்த நடவடிக்கை, BEARDSHELL மற்றும் COVENANT என கண்காணிக்கப்படும் இரண்டு புதிதாக அடையாளம் காணப்பட்ட தீம்பொருள் குடும்பங்களை வழங்க சிக்னல் அரட்டை செய்திகளைப் பயன்படுத்துகிறது, இது குழுவின் தந்திரோபாயங்களில் குறிப்பிடத்தக்க பரிணாமத்தைக் குறிக்கிறது.

பியர்ட்ஷெல் மற்றும் ஸ்லிமேஜென்ட்: ஒரு ஆபத்தான ஜோடி

C++ இல் உருவாக்கப்பட்ட BEARDSHELL, முதன்முதலில் மார்ச் மற்றும் ஏப்ரல் 2024 க்கு இடையில் கண்டறியப்பட்டது, இது SLIMAGENT என்ற ஸ்கிரீன்ஷாட்-பிடிப்பு கருவியுடன் விண்டோஸ் சிஸ்டத்தில் பயன்படுத்தப்பட்டது. BEARDSHELL இன் திறன்களில் பவர்ஷெல் ஸ்கிரிப்ட்களை இயக்குவது மற்றும் Icedrive API ஐப் பயன்படுத்தி ஒரு ரிமோட் சர்வரில் வெளியீட்டைப் பதிவேற்றுவது ஆகியவை அடங்கும்.

ஆரம்பகட்டக் கண்டறிதலின் போது, மால்வேர் எவ்வாறு கணினியில் ஊடுருவியது என்பது குறித்து CERT-UA-வுக்கு தெளிவு இல்லை. இருப்பினும், 'gov.ua' மின்னஞ்சல் கணக்கிற்கான அங்கீகரிக்கப்படாத அணுகலால் தூண்டப்பட்ட சமீபத்திய கண்டுபிடிப்புகள், 2024 சம்பவத்தில் பயன்படுத்தப்பட்ட ஆரம்ப தாக்குதல் திசையனை வெளிப்படுத்தியுள்ளன. இந்த ஆழமான விசாரணை BEARDSHELL மற்றும் COVENANT எனப்படும் மால்வேர் கட்டமைப்பின் பயன்பாட்டை உறுதிப்படுத்தியது.

தொற்று சங்கிலி: மேக்ரோ-லேஸ்டு ஆவணங்கள் மற்றும் DLL பேலோடுகள்

இந்தத் தாக்குதல் 'Акт.doc' என்ற தலைப்பில் தீங்கிழைக்கும் மைக்ரோசாஃப்ட் வேர்டு ஆவணத்தைக் கொண்ட சிக்னல் செய்தியுடன் தொடங்குகிறது. இந்த ஆவணத்தில் ஒரு உட்பொதிக்கப்பட்ட மேக்ரோ உள்ளது, அது செயல்படுத்தப்பட்டவுடன், இரண்டு கூறுகளை வழங்குகிறது:

• ஒரு தீங்கிழைக்கும் DLL: ctec.dll
• ஒரு மாறுவேடமிட்ட PNG படம்: windows.png

பின்னர் மேக்ரோ, explorer.exe அடுத்ததாக தொடங்கப்படும்போது DLL இயங்குவதை உறுதிசெய்ய Windows Registryயில் மாற்றங்களைச் செய்கிறது. இந்த DLL, PNG படத்தில் மறைந்திருக்கும் shellcode-ஐப் படித்து, நினைவகத்தில் இருக்கும் COVENANT malware framework-ஐத் தூண்டுகிறது.

செயல்படுத்தலைத் தொடர்ந்து, COVENANT இரண்டு இடைநிலை பேலோடுகளைப் பதிவிறக்கி செயல்படுத்துகிறது, அவை இறுதியில் BEARDSHELL பின்புறக் கதவை நிறுவுகின்றன, இது பாதிக்கப்பட்ட அமைப்பின் மீது தொடர்ச்சியான கட்டுப்பாட்டை வழங்குகிறது.

உடன்படிக்கை: செயல்பாட்டில் உள்ள அதிநவீன தீம்பொருள் கட்டமைப்பு

இந்த செயல்பாட்டில் COVENANT கட்டமைப்பு ஒரு முக்கிய பங்கை வகிக்கிறது, கூடுதல் தீம்பொருளுக்கான செயல்பாட்டு மையமாக செயல்படுகிறது. இதன் மட்டு வடிவமைப்பு, பேலோடுகளை நெகிழ்வாகப் பயன்படுத்த அனுமதிக்கிறது, இந்த விஷயத்தில் இது நேரடியாக BEARDSHELL ஐ செயல்படுத்த வழிவகுக்கிறது. இந்த நினைவக-குடியிருப்பு கட்டமைப்பு பாரம்பரிய கண்டறிதல் வழிமுறைகளைத் தவிர்க்கிறது, இது இலக்கு சூழல்களுக்கு குறிப்பாக ஆபத்தானதாக ஆக்குகிறது.

கண்காணிப்பு மற்றும் தணிப்பு பரிந்துரைகள்

இந்தப் பிரச்சாரத்தின் வெளிப்பாட்டைக் குறைக்க, பின்வரும் களங்களுடன் தொடர்புடைய போக்குவரத்தை கண்காணிக்க CERT-UA அரசு மற்றும் நிறுவன நெட்வொர்க்குகளை அறிவுறுத்துகிறது:

• ஆப்.கூஃப்ர்.நெட்
• api.icedrive.net (ஏபிஐ.ஐஸ் டிரைவ்.நெட்)

இந்த களங்களுக்கான வெளிச்செல்லும் இணைப்புகள் குறித்து விழிப்புடன் இருப்பது சமரசத்தின் ஆரம்ப அறிகுறிகளைக் கண்டறிய உதவும்.

முடிவு: தொடர்ச்சியான மற்றும் வளர்ந்து வரும் அச்சுறுத்தல்கள்

APT28 அதன் தாக்குதல் நுட்பங்களை தொடர்ந்து மேம்படுத்தி வருகிறது, சிக்னல் போன்ற நவீன செய்தியிடல் தளங்களை இணைத்து அவற்றை மரபுவழி அமைப்பு பாதிப்புகளுடன் இணைக்கிறது. புதிதாக உருவாக்கப்பட்ட தீம்பொருள் மற்றும் அறியப்பட்ட சுரண்டல்கள் இரண்டையும் பயன்படுத்தி, இந்த இரட்டை முனை அணுகுமுறை, குழுவின் நிலைத்தன்மையையும் அடுக்கு சைபர் பாதுகாப்பு பாதுகாப்புகளின் முக்கியத்துவத்தையும் அடிக்கோடிட்டுக் காட்டுகிறது. நிறுவனங்கள், குறிப்பாக அரசு நிறுவனங்கள், விழிப்புடன் இருக்க வேண்டும் மற்றும் சமரசத்தின் குறிகாட்டிகளுக்காக நெட்வொர்க் போக்குவரத்தை முன்கூட்டியே கண்காணிக்க வேண்டும்.