Het Computer Emergency Response Team van Oekraïne (Cert-UA) heeft gewaarschuwd voor een nieuwe cyberaanvalcampagne door de Rusland-gekoppelde APT28 (AKA UAC-0001) bedreigingsacteurs die signaalchatberichten gebruiken om twee nieuwe malwarefamilies te leveren genaamd Beardshell en Covenant.
Beardshell, per cert-UA, is geschreven in C ++ en biedt de mogelijkheid om PowerShell-scripts te downloaden en uit te voeren, en de resultaten van de uitvoering terug te uploaden naar een externe server via de Icedrive API.
Het bureau zei dat het voor het eerst Beardshell observeerde, naast een screenshot-tool genaamd Slimagent, als onderdeel van incidentresponsinspanningen in maart-april 2024 in een Windows-computer.
Hoewel er op dat moment geen details beschikbaar waren over hoe de infectie plaatsvond, zei het agentschap dat het meer dan een jaar later bedreigingsinformatie van ESET kreeg, dat bewijs van ongeautoriseerde toegang tot een e -mailaccount “gov.ua” ontdekte.
De exacte aard van de gedeeld informatie is niet bekendgemaakt, maar het heeft waarschijnlijk betrekking op een rapport van het Slowaakse cybersecuritybedrijf vorige maand dat de exploitatie van de exploitatie van Cross-Site Scripting (XSS) in verschillende webmailsoftware zoals RoundCube, Horde, Mdaemon en Zimbra To Bread Ukrax-ukraxe-ukraïdete ukraïdete ukraxe-ukraïdse scripting (Horde, Mdaemon en Zimbra To Bread Ukrax.
Verder onderzoek werd geactiveerd als gevolg van deze ontdekking die cruciaal bewijsmateriaal heeft opgegraven, inclusief de initiële toegangsvector die werd gebruikt in de aanval van 2024, evenals de aanwezigheid van Beardshell en een malware -raamwerk nagesynchroniseerd verbond.
In het bijzonder is het aan het licht gekomen dat de dreigingsacteurs berichten op signaal verzenden om een macro-geregen Microsoft Word-document te leveren (“акт.doc”), die, wanneer gelanceerd, twee payloads laat vallen: een kwaadaardige DLL (“CTEC.DLL”) en een PNG-afbeelding (“Windows.PnG”).
De ingebedde macro brengt ook Windows -registeraanpassingen aan om ervoor te zorgen dat de DLL wordt geladen wanneer Windows File Explorer (“Explorer.exe”) de volgende keer wordt gestart. De primaire taak van de DLL is om de shellcode uit het PNG-bestand te laden, wat resulteert in de uitvoering van het geheugen-resident Covenant Framework.
Covenant downloadt vervolgens nog twee tussenliggende payloads die zijn ontworpen om de Bearsshell Backdoor op de gecompromitteerde host te lanceren.
Om potentiële risico’s in verband met de dreiging te verminderen, worden staatsorganisaties aanbevolen om netwerkverkeer in de gaten te houden die verband houdt met de domeinen “App.Koofr (.) Net” en “API.icedrive (.) Net.”
De openbaarmaking komt als Cert-UA de targeting van APT28 op verouderde roundcube webmail-instanties in Oekraïne onthulde om exploits te leveren voor CVE-2020-35730, CVE-2021-44026, en CVE-2020-12641 VIA PHISHING-e-mails die ingenialiseerbaar sms overgaan over nieuwsgebeurtenissen, maar deze failles naar execute arbitracy-arbitrares voor executieve arbitrares.
The email “contained a content bait in the form of an article from the publication ‘NV’ (nv.ua), as well as an exploit for the Roundcube XSS vulnerability CVE-2020-35730 and the corresponding JavaScript code designed to download and run additional JavaScript files: ‘q.js’ and ‘e.js,'” CERT-UA said.
“E.JS” zorgt voor het maken van een mailboxregel voor het omleiden van inkomende e-mails naar een e-mailadres van derden, naast het exfiltreren van het adresboek en sessiekoekjes van het slachtoffer via HTTP-postverzoeken. Aan de andere kant heeft “Q.JS” een exploit voor een SQL-injectiefouten in RoundCube (CVE-2021-44026) die wordt gebruikt om informatie uit de RoundCube-database te verzamelen.
Cert-UA zei dat het ook een derde JavaScript-bestand met de naam “C.JS” ontdekte met een exploit voor een derde roundcube-fout (CVE-2020-12641) om willekeurige opdrachten op de mailserver uit te voeren. In totaal werden vergelijkbare phishing -e -mails verzonden naar de e -mailadressen van meer dan 40 Oekraïense organisaties.
