Шкідливе програмне забезпечення BEARDSHELL
Команда реагування на комп'ютерні надзвичайні ситуації України (CERT-UA) опублікувала попередження про нову кампанію кібератак, організовану APT28, групою кібератак, пов'язаною з Росією, також відомою як UAC-0001. Ця операція використовує повідомлення чату Signal для доставки двох нещодавно виявлених сімейств шкідливих програм, які відстежуються як BEARDSHELL та COVENANT, що знаменує собою помітну еволюцію в тактиці групи.
Зміст
BEARDSHELL та SLIMAGENT: Небезпечний дует
BEARDSHELL, розроблений на C++, був вперше виявлений між березнем і квітнем 2024 року, розгорнутий на системі Windows разом із інструментом для створення скріншотів під назвою SLIMAGENT. Можливості BEARDSHELL включають виконання скриптів PowerShell та завантаження отриманого виводу на віддалений сервер за допомогою API Icedrive.
На момент першого виявлення CERT-UA не мав чіткого уявлення про те, як шкідливе програмне забезпечення проникло в систему. Однак нещодавні результати, спричинені несанкціонованим доступом до облікового запису електронної пошти «gov.ua», виявили початковий вектор атаки, використаний в інциденті 2024 року. Це поглиблене розслідування підтвердило розгортання як BEARDSHELL, так і фреймворку шкідливого програмного забезпечення, відомого як COVENANT.
Ланцюг зараження: документи, пов'язані з макросами, та корисні навантаження DLL
Атака починається з повідомлення Signal, що містить шкідливий документ Microsoft Word під назвою «Акт.doc». Цей документ містить вбудований макрос, який після активації забезпечує два компоненти:
- Шкідлива DLL-бібліотека: ctec.dll
- Замасковане зображення PNG: windows.png
Потім макрос вносить зміни до реєстру Windows, щоб забезпечити запуск DLL під час наступного запуску explorer.exe. Ця DLL зчитує шелл-код, прихований у зображенні PNG, та запускає платформу шкідливого програмного забезпечення COVENANT, яка знаходиться в пам'яті.
Після активації COVENANT завантажує та виконує два проміжні корисні навантаження, які зрештою встановлюють бекдор BEARDSHELL, надаючи постійний контроль над зараженою системою.
ЗАВІТ: Складна система боротьби зі шкідливим програмним забезпеченням у дії
Фреймворк COVENANT відіграє центральну роль у цій операції, діючи як центр виконання для додаткового шкідливого програмного забезпечення. Його модульна конструкція дозволяє гнучке розгортання корисних навантажень, що в цьому випадку призводить безпосередньо до виконання BEARDSHELL. Цей фреймворк, що знаходиться в пам'яті, уникає традиційних механізмів виявлення, що робить його особливо небезпечним для цільових середовищ.
Рекомендації з моніторингу та пом'якшення наслідків
Щоб зменшити вплив цієї кампанії, CERT-UA радить урядовим та корпоративним мережам контролювати трафік, пов’язаний із такими доменами:
- app.koofr.net
- api.icedrive.net
Пильність щодо вихідних з’єднань з цими доменами може допомогти виявити ранні ознаки компрометації.
Висновок: Постійні та еволюціонуючі загрози
APT28 продовжує вдосконалювати свої методи атак, використовуючи сучасні платформи обміну повідомленнями, такі як Signal, та поєднуючи їх зі старими системними вразливостями. Такий двосторонній підхід, що використовує як нещодавно розроблене шкідливе програмне забезпечення, так і відомі експлойти, підкреслює наполегливість групи та важливість багаторівневого захисту від кібербезпеки. Організації, особливо державні установи, повинні залишатися пильними та проактивно контролювати мережевий трафік на наявність ознак компрометації.
