Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), Rusya’ya bağlı APT28 (AKA UAC-0001) tehdit aktörlerinin Beardshell ve Covenant adlı iki yeni kötü amaçlı yazılım ailesi sunmak için sinyal sohbet mesajları kullanan yeni bir siber saldırı kampanyası konusunda uyardı.
Beardshell, CERT-UA başına, C ++ ile yazılmıştır ve PowerShell komut dosyalarını indirme ve yürütme ve yürütme sonuçlarını Icedrive API üzerinden uzak bir sunucuya yükleme olanağı sunar.
Ajans, ilk olarak Beardshell’i, Slimagent adlı bir ekran görüntüsü alma aracının yanı sıra, bir Windows bilgisayarında Mart-Nisan 2024’teki olay müdahale çabalarının bir parçası olarak gözlemlediğini söyledi.
O zaman, enfeksiyonun nasıl gerçekleştiğine dair hiçbir ayrıntı yokken, ajans bir yıldan fazla bir süre sonra bir “Gov.ua” e -posta hesabına yetkisiz erişim kanıtını tespit eden ESET’ten tehdit istihbaratı aldığını söyledi.
Paylaşılan bilgilerin kesin niteliği açıklanmadı, ancak muhtemelen APT28’in Roundcube, Horde, MDAemon ve Zimbra gibi çeşitli webmail yazılımlarında Ukrayn Hükümetleri’ne yönlendirilen Slovak Siber Güvenlik Şirketi’nden bir raporla ilgilidir.
2024 saldırısında kullanılan ilk erişim vektörü ve Beardshell varlığı ve Covenant olarak adlandırılan kötü amaçlı bir çerçeve de dahil olmak üzere, bu keşif sonucunda ortaya çıkan önemli kanıtlar.
Özellikle, tehdit aktörlerinin, başlatıldığında iki yük bırakan bir makro bağcıklı Microsoft Word belgesi (“акт.doc”) sunmak için sinyal gönderdikleri ortaya çıktı: kötü niyetli bir DLL (“ctec.dll”) ve bir PNG görüntüsü (“windows.png”).
Gömülü makro, bir dahaki sefere Dosya Gezgini (“Explorer.exe”) başlatıldığında DLL’nin başlatılmasını sağlamak için Windows kayıt defteri değişiklikleri yapar. DLL’nin birincil görevi, kabuk kodunu PNG dosyasından yüklemektir ve bu da bellekte yerleşik antlaşma çerçevesinin yürütülmesine neden olur.
Covenant daha sonra, güvenliği ihlal edilen ana bilgisayarda Beardshell Backdoor’u başlatmak için tasarlanmış iki ara yük daha indirir.
Tehditle ilişkili potansiyel riskleri azaltmak için, devlet kuruluşlarının “App.Koofr APP.KOOFR alanlarıyla ilişkili ağ trafiğine dikkat etmeleri önerilir.[.]Net “ve” api.icencerive[.]açık.”
Açıklama, CERT-UA’nın APT28’in CVE-2020-35730, CVE-2021-44026 ve CVE-2020-12641 için istismar sunmak için APT28’in hedeflendiğini ortaya çıkardığı gibi gelir.
E-postada “NV ‘(NV.UA) yayınından bir makale şeklinde bir içerik yeminin yanı sıra Roundcube XSS Güvenlik Açığı CVE-2020-35730 ve ek JavaScript dosyalarını indirmek ve çalıştırmak için tasarlanmış ilgili JavaScript kodu:’ q.js ‘ve’ E.JS, Cert-UA’nın söylendiğini söyledi.
“E.JS”, gelen e-postaları üçüncü taraf bir e-posta adresine yönlendirmek için bir posta kutusu kuralı oluşturulmasını sağlar ve kurbanın adres defterini ve oturum çerezlerini HTTP Post istekleri aracılığıyla eksifiltrasyonun yanı sıra. Öte yandan, “Q.JS”, Roundcube veritabanından bilgi toplamak için kullanılan Roundcube’de (CVE-2021-44026) bir SQL enjeksiyon kusuru için bir istismar içerir.
CERT-UA, posta sunucusunda keyfi komutlar yürütmek için üçüncü bir yuvarlak kamüp kusuru (CVE-2020-12641) için bir istismar içeren “C.JS” adlı üçüncü bir JavaScript dosyası keşfettiğini söyledi. Toplamda, 40’tan fazla Ukraynalı kuruluşun e -posta adreslerine benzer kimlik avı e -postaları gönderildi.