BEARDSHELL惡意軟體

烏克蘭電腦緊急應變小組 (CERT-UA) 發出警告，稱 APT28 策劃了一場新的網路攻擊活動。 APT28 是一個與俄羅斯有關的威脅組織，又稱為 UAC-0001。這次攻擊活動利用 Signal 聊天訊息傳播兩個新發現的惡意軟體家族，分別名為 BEARDSHELL 和 COVENANT，標誌著該組織攻擊手段的顯著演變。

BEARDSHELL 和 SLIMAGENT：危險二人組

BEARDSHELL 採用 C++ 開發，於 2024 年 3 月至 4 月期間首次被發現，並隨名為 SLIMAGENT 的螢幕截圖工具一起部署在 Windows 系統上。 BEARDSHELL 的功能包括執行 PowerShell 腳本並使用 Icedrive API 將結果輸出上傳到遠端伺服器。

在最初檢測時，CERT-UA 尚不清楚惡意軟體是如何滲透系統的。然而，最近由未經授權存取「gov.ua」電子郵件帳戶引發的調查結果揭示了 2024 年事件中使用的初始攻擊媒介。這項深入調查證實了 BEARDSHELL 和名為 COVENANT 的惡意軟體框架的部署。

感染鏈：巨集文檔和 DLL 負載

攻擊始於一條 Signal 訊息，其中包含一個名為「Акт.doc」的惡意 Microsoft Word 文件。該文件包含一個嵌入式宏，一旦激活，就會傳遞兩個元件：

• 惡意 DLL：ctec.dll
• 偽裝的 PNG 圖像：windows.png

然後，該巨集會變更 Windows 登錄，以確保 DLL 在 explorer.exe 下次啟動時執行。此 DLL 會讀取隱藏在 PNG 映像中的 Shellcode，並觸發駐留在記憶體中的 COVENANT 惡意軟體框架。

啟動後，COVENANT 繼續下載並執行兩個中間有效載荷，最終安裝 BEARDSHELL 後門，從而對受感染系統進行持久控制。

COVENANT：複雜的惡意軟體框架正在運行

COVENANT 框架在此次行動中扮演核心角色，扮演其他惡意軟體的執行中心。其模組化設計使其能夠靈活部署有效載荷，在本例中直接導致了 BEARDSHELL 的執行。這種駐留在記憶體中的框架能夠規避傳統的偵測機制，因此在目標環境中尤其危險。

監控和緩解建議

為了減少此次攻擊活動的曝光，CERT-UA 建議政府和企業網路監控與以下網域相關的流量：

• app.koofr.net
• api.icedrive.net

對這些域的出站連接保持警惕有助於偵測出早期的攻擊跡象。

結論：持續不斷且不斷演變的威脅

APT28 不斷改進其攻擊技術，整合 Signal 等現代訊息平台，並將其與舊系統漏洞結合。這種雙管齊下的策略，既使用新開發的惡意軟體，又利用已知的漏洞，凸顯了該組織的持久性以及分層網路安全防禦的重要性。各組織，尤其是政府機構，必須保持警惕，主動監控網路流量，以發現潛在的攻擊跡象。