มัลแวร์ BEARDSHELL
ทีมตอบสนองเหตุฉุกเฉินด้านคอมพิวเตอร์ของยูเครน (CERT-UA) ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ครั้งใหม่ที่วางแผนโดย APT28 ซึ่งเป็นกลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซียและรู้จักกันในชื่อ UAC-0001 ปฏิบัติการนี้ใช้ข้อความแชทของ Signal เพื่อส่งมัลแวร์ 2 กลุ่มที่เพิ่งค้นพบใหม่ ซึ่งติดตามได้ว่าเป็น BEARDSHELL และ COVENANT ซึ่งถือเป็นวิวัฒนาการครั้งสำคัญในกลยุทธ์ของกลุ่ม
สารบัญ
BEARDSHELL และ SLIMAGENT: คู่หูสุดอันตราย
BEARDSHELL พัฒนาด้วยภาษา C++ และตรวจพบครั้งแรกระหว่างเดือนมีนาคมถึงเมษายน 2024 โดยติดตั้งบนระบบ Windows ร่วมกับเครื่องมือจับภาพหน้าจอชื่อ SLIMAGENT ความสามารถของ BEARDSHELL ได้แก่ การเรียกใช้สคริปต์ PowerShell และการอัปโหลดผลลัพธ์ไปยังเซิร์ฟเวอร์ระยะไกลโดยใช้ Icedrive API
เมื่อตรวจพบครั้งแรก CERT-UA ยังไม่ชัดเจนว่ามัลแวร์แทรกซึมเข้าไปในระบบได้อย่างไร อย่างไรก็ตาม การค้นพบล่าสุดที่เกิดจากการเข้าถึงบัญชีอีเมล 'gov.ua' โดยไม่ได้รับอนุญาต ได้เปิดเผยเวกเตอร์การโจมตีเบื้องต้นที่ใช้ในเหตุการณ์ในปี 2024 การสืบสวนที่เจาะลึกยิ่งขึ้นนี้ยืนยันการใช้งานทั้ง BEARDSHELL และกรอบงานมัลแวร์ที่รู้จักกันในชื่อ COVENANT
ห่วงโซ่การติดเชื้อ: เอกสารที่เชื่อมโยงแบบแมโครและโหลด DLL
การโจมตีเริ่มต้นด้วยข้อความ Signal ที่มีเอกสาร Microsoft Word ที่เป็นอันตรายชื่อว่า "Акт.doc" เอกสารนี้มีแมโครฝังอยู่ ซึ่งเมื่อเปิดใช้งานแล้วจะส่งส่วนประกอบสองส่วน:
- DLL ที่เป็นอันตราย: ctec.dll
- รูปภาพ PNG ที่ปลอมตัว: windows.png
จากนั้นแมโครจะทำการเปลี่ยนแปลงรีจิสทรีของ Windows เพื่อให้แน่ใจว่า DLL จะทำงานเมื่อมีการเปิด explorer.exe อีกครั้ง DLL นี้จะอ่าน shellcode ที่ซ่อนอยู่ในรูปภาพ PNG และกระตุ้นกรอบงานมัลแวร์ COVENANT ที่อยู่ในหน่วยความจำ
หลังจากเปิดใช้งานแล้ว COVENANT จะดำเนินการดาวน์โหลดและดำเนินการโหลดกลาง 2 รายการซึ่งจะติดตั้งแบ็คดอร์ BEARDSHELL ในที่สุด ช่วยให้สามารถควบคุมระบบที่ติดไวรัสได้อย่างต่อเนื่อง
COVENANT: กรอบการทำงานมัลแวร์ที่ซับซ้อนในการดำเนินการ
กรอบงาน COVENANT มีบทบาทสำคัญในการดำเนินการนี้ โดยทำหน้าที่เป็นศูนย์กลางการดำเนินการสำหรับมัลแวร์เพิ่มเติม การออกแบบแบบแยกส่วนช่วยให้สามารถปรับใช้เพย์โหลดได้อย่างยืดหยุ่น ซึ่งในกรณีนี้จะนำไปสู่การดำเนินการ BEARDSHELL โดยตรง กรอบงานที่อยู่ในหน่วยความจำนี้หลีกเลี่ยงกลไกการตรวจจับแบบเดิม ทำให้เป็นอันตรายโดยเฉพาะสำหรับสภาพแวดล้อมเป้าหมาย
คำแนะนำในการติดตามและบรรเทาผลกระทบ
เพื่อลดการแสดงผลต่อแคมเปญนี้ CERT-UA แนะนำให้เครือข่ายภาครัฐและองค์กรตรวจสอบปริมาณการรับส่งข้อมูลที่เกี่ยวข้องกับโดเมนต่อไปนี้:
- แอป koofr.net
- api.icedrive.net
การเฝ้าระวังการเชื่อมต่อขาออกไปยังโดเมนเหล่านี้อาจช่วยตรวจพบสัญญาณเริ่มแรกของการบุกรุกได้
บทสรุป: ภัยคุกคามที่คงอยู่และเปลี่ยนแปลงไป
APT28 ยังคงปรับปรุงเทคนิคการโจมตีอย่างต่อเนื่อง โดยนำแพลตฟอร์มการส่งข้อความสมัยใหม่ เช่น Signal มาใช้ร่วมกับช่องโหว่ของระบบเดิม แนวทางแบบสองแฉกนี้ ซึ่งใช้ทั้งมัลแวร์ที่พัฒนาขึ้นใหม่และช่องโหว่ที่ทราบแล้ว เน้นย้ำถึงความพากเพียรของกลุ่มและความสำคัญของการป้องกันความปลอดภัยทางไซเบอร์แบบหลายชั้น องค์กรต่างๆ โดยเฉพาะหน่วยงานของรัฐ จะต้องคอยเฝ้าระวังและตรวจสอบปริมาณการใช้งานเครือข่ายอย่างเป็นเชิงรุกเพื่อหาตัวบ่งชี้การบุกรุก
