BEARDSHELL Malware

Ang Computer Emergency Response Team ng Ukraine (CERT-UA) ay naglabas ng babala tungkol sa isang bagong cyber attack campaign na inayos ng APT28, isang grupo ng pagbabanta na naka-link sa Russia at kilala rin bilang UAC-0001. Gumagamit ang operasyong ito ng mga Signal chat na mensahe upang maghatid ng dalawang bagong natukoy na pamilya ng malware, na sinusubaybayan bilang BEARDSHELL at COVENANT, na nagmamarka ng isang kapansin-pansing ebolusyon sa mga taktika ng grupo.

BEARDSHELL at SLIMAGENT: Isang Mapanganib na Duo

Ang BEARDSHELL, na binuo sa C++, ay unang natukoy sa pagitan ng Marso at Abril 2024, na na-deploy sa isang Windows system kasama ng isang tool sa pagkuha ng screenshot na pinangalanang SLIMAGENT. Kasama sa mga kakayahan ng BEARDSHELL ang pagsasagawa ng mga PowerShell script at pag-upload ng resultang output sa isang malayuang server gamit ang Icedrive API.

Sa oras ng paunang pagtuklas, ang CERT-UA ay kulang sa kalinawan kung paano nakapasok ang malware sa system. Gayunpaman, ang mga kamakailang natuklasan, na pinasimulan ng hindi awtorisadong pag-access sa isang 'gov.ua' na email account, ay nagsiwalat ng paunang vector ng pag-atake na ginamit sa insidente noong 2024. Kinumpirma ng mas malalim na pagsisiyasat na ito ang deployment ng BEARDSHELL at isang malware framework na kilala bilang COVENANT.

Chain ng Impeksyon: Mga Macro-Laced na Dokumento at DLL Payload

Nagsisimula ang pag-atake sa isang mensaheng Signal na naglalaman ng malisyosong dokumento ng Microsoft Word na may pamagat na 'Акт.doc.' Kasama sa dokumentong ito ang isang naka-embed na macro na, kapag na-activate, ay naghahatid ng dalawang bahagi:

• Isang nakakahamak na DLL: ctec.dll
• Isang disguised PNG na larawan: windows.png

Ang macro pagkatapos ay gumagawa ng mga pagbabago sa Windows Registry upang matiyak na ang DLL ay tatakbo kapag ang explorer.exe ay susunod na inilunsad. Ang DLL na ito ay nagbabasa ng shellcode na nakatago sa PNG na imahe at nagti-trigger ng COVENANT malware framework, na nasa memorya.

Kasunod ng pag-activate, magpapatuloy ang COVENANT upang mag-download at magsagawa ng dalawang intermediate na payload na sa huli ay nag-i-install ng BEARDSHELL backdoor, na nagbibigay ng patuloy na kontrol sa nahawaang system.

COVENANT: Kumikilos ang Sopistikadong Framework ng Malware

Ang COVENANT framework ay gumaganap ng pangunahing papel sa operasyong ito, na kumikilos bilang execution hub para sa karagdagang malware. Ang modular na disenyo nito ay nagbibigay-daan para sa flexible deployment ng mga payload, sa kasong ito na direktang humahantong sa pagpapatupad ng BEARDSHELL. Ang memory-resident framework na ito ay umiiwas sa mga tradisyonal na mekanismo ng pagtuklas, na ginagawa itong partikular na mapanganib para sa mga naka-target na kapaligiran.

Mga Rekomendasyon sa Pagsubaybay at Pagbabawas

Upang mabawasan ang pagkakalantad sa kampanyang ito, pinapayuhan ng CERT-UA ang mga network ng gobyerno at enterprise na subaybayan ang trapikong nauugnay sa mga sumusunod na domain:

• app.koofr.net
• api.icedrive.net

Ang pagiging mapagbantay tungkol sa mga papalabas na koneksyon sa mga domain na ito ay maaaring makatulong sa pagtuklas ng mga maagang palatandaan ng kompromiso.

Konklusyon: Patuloy at Umuunlad na mga Banta

Patuloy na pinipino ng APT28 ang mga diskarte sa pag-atake nito, na isinasama ang mga modernong platform ng pagmemensahe tulad ng Signal at pinagsasama ang mga ito sa mga legacy na kahinaan ng system. Ang dual-pronged approach na ito, gamit ang parehong bagong binuo na malware at kilalang pagsasamantala, ay binibigyang-diin ang pananatili ng grupo at ang kahalagahan ng mga layered na panlaban sa cybersecurity. Ang mga organisasyon, lalo na ang mga ahensya ng gobyerno, ay dapat manatiling alerto at aktibong subaybayan ang trapiko ng network para sa mga tagapagpahiwatig ng kompromiso.