BEARDSHELL恶意软件

乌克兰计算机应急响应小组 (CERT-UA) 发出警告，称 APT28 策划了一场新的网络攻击活动。APT28 是一个与俄罗斯有关联的威胁组织，又名 UAC-0001。此次攻击活动利用 Signal 聊天消息传播两个新发现的恶意软件家族，分别名为 BEARDSHELL 和 COVENANT，标志着该组织攻击手段的显著演变。

BEARDSHELL 和 SLIMAGENT：危险二人组

BEARDSHELL 采用 C++ 开发，于 2024 年 3 月至 4 月期间首次被发现，并随名为 SLIMAGENT 的屏幕截图工具一起部署在 Windows 系统上。BEARDSHELL 的功能包括执行 PowerShell 脚本并使用 Icedrive API 将结果输出上传到远程服务器。

在最初检测时，CERT-UA 尚不清楚恶意软件是如何渗透系统的。然而，最近由未经授权访问“gov.ua”电子邮件帐户引发的调查结果揭示了 2024 年事件中使用的初始攻击媒介。这项深入调查证实了 BEARDSHELL 和名为 COVENANT 的恶意软件框架的部署。

感染链：宏文档和 DLL 负载

攻击始于一条 Signal 消息，其中包含一个名为“Акт.doc”的恶意 Microsoft Word 文档。该文档包含一个嵌入式宏，一旦激活，就会传递两个组件：

• 恶意 DLL：ctec.dll
• 伪装的 PNG 图像：windows.png

然后，该宏会更改 Windows 注册表，以确保 DLL 在 explorer.exe 下次启动时运行。该 DLL 会读取隐藏在 PNG 图像中的 Shellcode，并触发驻留在内存中的 COVENANT 恶意软件框架。

激活后，COVENANT 继续下载并执行两个中间有效载荷，最终安装 BEARDSHELL 后门，从而对受感染系统进行持久控制。

COVENANT：复杂的恶意软件框架正在运行

COVENANT 框架在此次行动中扮演着核心角色，充当着其他恶意软件的执行中心。其模块化设计使其能够灵活部署有效载荷，在本例中直接导致了 BEARDSHELL 的执行。这种驻留在内存中的框架能够规避传统的检测机制，因此在目标环境中尤其危险。

监控和缓解建议

为了减少此次攻击活动的曝光，CERT-UA 建议政府和企业网络监控与以下域名相关的流量：

• app.koofr.net
• api.icedrive.net

对这些域的出站连接保持警惕有助于检测出早期的攻击迹象。

结论：持续不断且不断演变的威胁

APT28 不断改进其攻击技术，整合 Signal 等现代消息平台，并将其与旧有系统漏洞相结合。这种双管齐下的策略，既使用新开发的恶意软件，又利用已知的漏洞，凸显了该组织的持久性以及分层网络安全防御的重要性。各组织，尤其是政府机构，必须保持警惕，主动监控网络流量，以发现潜在的攻击迹象。