Phần mềm độc hại BEARDSHELL
Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã đưa ra cảnh báo về một chiến dịch tấn công mạng mới do APT28, một nhóm đe dọa có liên hệ với Nga và còn được gọi là UAC-0001, dàn dựng. Hoạt động này sử dụng tin nhắn trò chuyện Signal để phát tán hai nhóm phần mềm độc hại mới được xác định, được theo dõi là BEARDSHELL và COVENANT, đánh dấu sự phát triển đáng chú ý trong chiến thuật của nhóm.
Mục lục
BEARDSHELL và SLIMAGENT: Một cặp đôi nguy hiểm
BEARDSHELL, được phát triển bằng C++, lần đầu tiên được phát hiện vào khoảng tháng 3 đến tháng 4 năm 2024, được triển khai trên hệ thống Windows cùng với công cụ chụp ảnh màn hình có tên SLIMAGENT. Khả năng của BEARDSHELL bao gồm thực thi các tập lệnh PowerShell và tải kết quả đầu ra lên máy chủ từ xa bằng API Icedrive.
Vào thời điểm phát hiện ban đầu, CERT-UA không rõ cách phần mềm độc hại xâm nhập vào hệ thống. Tuy nhiên, những phát hiện gần đây, xuất phát từ việc truy cập trái phép vào tài khoản email 'gov.ua', đã tiết lộ vectơ tấn công ban đầu được sử dụng trong sự cố năm 2024. Cuộc điều tra sâu hơn này đã xác nhận việc triển khai cả BEARDSHELL và một khuôn khổ phần mềm độc hại được gọi là COVENANT.
Chuỗi lây nhiễm: Tài liệu Macro-Laced và Tải trọng DLL
Cuộc tấn công bắt đầu bằng một tin nhắn Signal chứa một tài liệu Microsoft Word độc hại có tiêu đề 'Акт.doc.' Tài liệu này bao gồm một macro nhúng, khi được kích hoạt, sẽ cung cấp hai thành phần:
- Một DLL độc hại: ctec.dll
- Một hình ảnh PNG ngụy trang: windows.png
Sau đó, macro sẽ thay đổi Windows Registry để đảm bảo DLL chạy khi explorer.exe được khởi chạy lần tiếp theo. DLL này đọc shellcode ẩn trong hình ảnh PNG và kích hoạt khung phần mềm độc hại COVENANT nằm trong bộ nhớ.
Sau khi kích hoạt, COVENANT sẽ tiến hành tải xuống và thực thi hai tải trọng trung gian cuối cùng sẽ cài đặt cửa hậu BEARDSHELL, cấp quyền kiểm soát liên tục đối với hệ thống bị nhiễm.
COVENANT: Khung phần mềm độc hại tinh vi đang hoạt động
Khung COVENANT đóng vai trò trung tâm trong hoạt động này, hoạt động như trung tâm thực thi cho phần mềm độc hại bổ sung. Thiết kế mô-đun của nó cho phép triển khai linh hoạt các tải trọng, trong trường hợp này dẫn trực tiếp đến việc thực thi BEARDSHELL. Khung lưu trú trong bộ nhớ này tránh được các cơ chế phát hiện truyền thống, khiến nó đặc biệt nguy hiểm đối với các môi trường mục tiêu.
Khuyến nghị giám sát và giảm thiểu
Để giảm thiểu nguy cơ bị tấn công bởi chiến dịch này, CERT-UA khuyên các mạng lưới chính phủ và doanh nghiệp nên theo dõi lưu lượng truy cập liên quan đến các tên miền sau:
- ứng dụng.koofr.net
- api.icedrive.net
Việc cảnh giác với các kết nối ra ngoài tới các miền này có thể giúp phát hiện sớm các dấu hiệu xâm phạm.
Kết luận: Mối đe dọa dai dẳng và đang phát triển
APT28 tiếp tục cải tiến các kỹ thuật tấn công của mình, kết hợp các nền tảng nhắn tin hiện đại như Signal và kết hợp chúng với các lỗ hổng hệ thống cũ. Cách tiếp cận hai hướng này, sử dụng cả phần mềm độc hại mới phát triển và các khai thác đã biết, nhấn mạnh sự kiên trì của nhóm và tầm quan trọng của các biện pháp phòng thủ an ninh mạng nhiều lớp. Các tổ chức, đặc biệt là các cơ quan chính phủ, phải luôn cảnh giác và chủ động theo dõi lưu lượng mạng để tìm các dấu hiệu xâm phạm.
