BEARDSHELL Kötü Amaçlı Yazılım
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Rusya ile bağlantılı ve UAC-0001 olarak da bilinen bir tehdit grubu olan APT28 tarafından düzenlenen yeni bir siber saldırı kampanyası hakkında bir uyarı yayınladı. Bu operasyon, BEARDSHELL ve COVENANT olarak izlenen iki yeni tanımlanmış kötü amaçlı yazılım ailesini iletmek için Signal sohbet mesajlarını kullanıyor ve grubun taktiklerinde önemli bir evrimi işaret ediyor.
İçindekiler
BEARDSHELL ve SLIMAGENT: Tehlikeli Bir İkili
C++'da geliştirilen BEARDSHELL, ilk olarak Mart ve Nisan 2024 arasında tespit edildi ve SLIMAGENT adlı bir ekran görüntüsü yakalama aracıyla birlikte bir Windows sistemine dağıtıldı. BEARDSHELL'in yetenekleri arasında PowerShell betiklerini yürütmek ve elde edilen çıktıyı Icedrive API'sini kullanarak uzak bir sunucuya yüklemek yer alıyor.
İlk tespit sırasında CERT-UA, kötü amaçlı yazılımın sisteme nasıl sızdığı konusunda netlikten yoksundu. Ancak, 'gov.ua' e-posta hesabına yetkisiz erişimle tetiklenen son bulgular, 2024 olayında kullanılan ilk saldırı vektörünü ortaya çıkardı. Bu daha derin araştırma, hem BEARDSHELL'in hem de COVENANT olarak bilinen bir kötü amaçlı yazılım çerçevesinin dağıtımını doğruladı.
Enfeksiyon Zinciri: Makro Bağlantılı Belgeler ve DLL Yükleri
Saldırı, 'Акт.doc' başlıklı kötü amaçlı bir Microsoft Word belgesi içeren bir Signal mesajıyla başlıyor. Bu belge, etkinleştirildiğinde iki bileşen sağlayan gömülü bir makro içeriyor:
- Kötü amaçlı bir DLL: ctec.dll
- Gizlenmiş bir PNG resmi: windows.png
Makro daha sonra explorer.exe bir sonraki başlatıldığında DLL'nin çalışmasını sağlamak için Windows Kayıt Defterinde değişiklikler yapar. Bu DLL PNG görüntüsünde gizli olan kabuk kodunu okur ve bellekte bulunan COVENANT kötü amaçlı yazılım çerçevesini tetikler.
Aktivasyonun ardından COVENANT, nihayetinde BEARDSHELL arka kapısını kuran ve enfekte olmuş sistem üzerinde kalıcı kontrol sağlayan iki ara yükü indirip yürütmeye devam eder.
COVENANT: Eylemde Gelişmiş Kötü Amaçlı Yazılım Çerçevesi
COVENANT çerçevesi bu operasyonda merkezi bir rol oynar ve ek kötü amaçlı yazılımlar için yürütme merkezi görevi görür. Modüler tasarımı, yüklerin esnek bir şekilde dağıtılmasına olanak tanır ve bu durumda doğrudan BEARDSHELL'in yürütülmesine yol açar. Bu bellekte yerleşik çerçeve, geleneksel tespit mekanizmalarından kaçınır ve bu da onu hedeflenen ortamlar için özellikle tehlikeli hale getirir.
İzleme ve Azaltma Önerileri
Bu kampanyaya maruz kalmayı azaltmak için CERT-UA, hükümet ve kurumsal ağlara aşağıdaki alanlarla ilişkili trafiği izlemelerini öneriyor:
- uygulama.koofr.net
- api.icedrive.net
Bu alan adlarına giden giden bağlantılara karşı dikkatli olmak, tehlike belirtilerinin erken tespit edilmesine yardımcı olabilir.
Sonuç: Kalıcı ve Gelişen Tehditler
APT28, Signal gibi modern mesajlaşma platformlarını dahil ederek ve bunları eski sistem zafiyetleriyle birleştirerek saldırı tekniklerini geliştirmeye devam ediyor. Hem yeni geliştirilen kötü amaçlı yazılımları hem de bilinen istismarları kullanan bu çift yönlü yaklaşım, grubun devamlılığını ve katmanlı siber güvenlik savunmalarının önemini vurguluyor. Kuruluşlar, özellikle de devlet kurumları, uyanık kalmalı ve tehlike göstergeleri için ağ trafiğini proaktif olarak izlemelidir.
