BEARDSHELL మాల్వేర్

ఉక్రెయిన్ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం (CERT-UA), రష్యాతో అనుసంధానించబడిన మరియు UAC-0001 అని కూడా పిలువబడే బెదిరింపు సమూహం APT28 చే నిర్వహించబడుతున్న తాజా సైబర్ దాడి ప్రచారం గురించి హెచ్చరిక జారీ చేసింది. ఈ ఆపరేషన్ BEARDSHELL మరియు COVENANT గా ట్రాక్ చేయబడిన రెండు కొత్తగా గుర్తించబడిన మాల్వేర్ కుటుంబాలను అందించడానికి సిగ్నల్ చాట్ సందేశాలను ఉపయోగిస్తుంది, ఇది సమూహం యొక్క వ్యూహాలలో గుర్తించదగిన పరిణామాన్ని సూచిస్తుంది.

బార్డ్‌షెల్ మరియు స్లిమాజెంట్: ఒక ప్రమాదకరమైన జంట

C++లో అభివృద్ధి చేయబడిన BEARDSHELL, మొదట మార్చి మరియు ఏప్రిల్ 2024 మధ్య కనుగొనబడింది, ఇది SLIMAGENT అనే స్క్రీన్‌షాట్-క్యాప్చరింగ్ సాధనంతో పాటు Windows సిస్టమ్‌లో అమలు చేయబడింది. BEARDSHELL యొక్క సామర్థ్యాలలో పవర్‌షెల్ స్క్రిప్ట్‌లను అమలు చేయడం మరియు Icedrive APIని ఉపయోగించి ఫలిత అవుట్‌పుట్‌ను రిమోట్ సర్వర్‌కు అప్‌లోడ్ చేయడం వంటివి ఉన్నాయి.

ప్రాథమిక గుర్తింపు సమయంలో, మాల్వేర్ సిస్టమ్‌లోకి ఎలా చొరబడిందో CERT-UAకి స్పష్టత లేదు. అయితే, 'gov.ua' ఇమెయిల్ ఖాతాకు అనధికారిక యాక్సెస్ ద్వారా పుట్టుకొచ్చిన ఇటీవలి పరిశోధనలు, 2024 సంఘటనలో ఉపయోగించిన ప్రారంభ దాడి వెక్టర్‌ను వెల్లడించాయి. ఈ లోతైన దర్యాప్తు BEARDSHELL మరియు COVENANT అని పిలువబడే మాల్వేర్ ఫ్రేమ్‌వర్క్ రెండింటి విస్తరణను నిర్ధారించింది.

ఇన్ఫెక్షన్ చైన్: మాక్రో-లేస్డ్ డాక్యుమెంట్లు మరియు DLL పేలోడ్‌లు

ఈ దాడి 'Акт.doc' అనే హానికరమైన మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్‌ను కలిగి ఉన్న సిగ్నల్ సందేశంతో ప్రారంభమవుతుంది. ఈ డాక్యుమెంట్‌లో ఎంబెడెడ్ మాక్రో ఉంటుంది, అది యాక్టివేట్ అయిన తర్వాత, రెండు భాగాలను అందిస్తుంది:

• ఒక హానికరమైన DLL: ctec.dll
• మారువేషంలో ఉన్న PNG చిత్రం: windows.png

తరువాత మాక్రో, explorer.exe లాంచ్ అయినప్పుడు DLL నడుస్తుందని నిర్ధారించుకోవడానికి Windows రిజిస్ట్రీలో మార్పులు చేస్తుంది. ఈ DLL PNG ఇమేజ్‌లో దాగి ఉన్న షెల్‌కోడ్‌ను చదువుతుంది మరియు మెమరీలో ఉండే COVENANT మాల్వేర్ ఫ్రేమ్‌వర్క్‌ను ట్రిగ్గర్ చేస్తుంది.

యాక్టివేషన్ తర్వాత, COVENANT రెండు ఇంటర్మీడియట్ పేలోడ్‌లను డౌన్‌లోడ్ చేసి అమలు చేస్తుంది, ఇవి చివరికి BEARDSHELL బ్యాక్‌డోర్‌ను ఇన్‌స్టాల్ చేస్తాయి, ఇన్‌ఫెక్ట్ చేయబడిన సిస్టమ్‌పై నిరంతర నియంత్రణను అందిస్తాయి.

ఒడంబడిక: కార్యాచరణలో అధునాతన మాల్వేర్ ఫ్రేమ్‌వర్క్

ఈ ఆపరేషన్‌లో COVENANT ఫ్రేమ్‌వర్క్ కీలక పాత్ర పోషిస్తుంది, అదనపు మాల్వేర్‌కు అమలు కేంద్రంగా పనిచేస్తుంది. దీని మాడ్యులర్ డిజైన్ పేలోడ్‌ల యొక్క సరళమైన విస్తరణకు అనుమతిస్తుంది, ఈ సందర్భంలో నేరుగా BEARDSHELL అమలుకు దారితీస్తుంది. ఈ మెమరీ-నివాస ఫ్రేమ్‌వర్క్ సాంప్రదాయ గుర్తింపు విధానాలను తప్పించుకుంటుంది, ఇది లక్ష్య వాతావరణాలకు ముఖ్యంగా ప్రమాదకరంగా మారుతుంది.

పర్యవేక్షణ మరియు ఉపశమన సిఫార్సులు

ఈ ప్రచారానికి గురికావడాన్ని తగ్గించడానికి, CERT-UA ప్రభుత్వం మరియు ఎంటర్‌ప్రైజ్ నెట్‌వర్క్‌లు ఈ క్రింది డొమైన్‌లతో అనుబంధించబడిన ట్రాఫిక్‌ను పర్యవేక్షించాలని సలహా ఇస్తుంది:

• యాప్.కూఫ్ర్.నెట్
• api.icedrive.net ద్వారా మరిన్ని

ఈ డొమైన్‌లకు అవుట్‌బౌండ్ కనెక్షన్‌ల గురించి అప్రమత్తంగా ఉండటం వలన రాజీ యొక్క ముందస్తు సంకేతాలను గుర్తించడంలో సహాయపడుతుంది.

ముగింపు: నిరంతర మరియు అభివృద్ధి చెందుతున్న బెదిరింపులు

APT28 తన దాడి పద్ధతులను మెరుగుపరుస్తూనే ఉంది, సిగ్నల్ వంటి ఆధునిక సందేశ ప్లాట్‌ఫారమ్‌లను కలుపుకొని వాటిని పాత సిస్టమ్ దుర్బలత్వాలతో కలుపుతోంది. కొత్తగా అభివృద్ధి చేయబడిన మాల్వేర్ మరియు తెలిసిన దోపిడీలు రెండింటినీ ఉపయోగించి ఈ ద్వంద్వ-వైపుల విధానం, సమూహం యొక్క పట్టుదల మరియు లేయర్డ్ సైబర్ భద్రతా రక్షణల యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది. సంస్థలు, ముఖ్యంగా ప్రభుత్వ సంస్థలు, అప్రమత్తంగా ఉండాలి మరియు రాజీ సూచికల కోసం నెట్‌వర్క్ ట్రాఫిక్‌ను ముందుగానే పర్యవేక్షించాలి.