„BEARDSHELL“ kenkėjiška programa: kitoks skaitmeninio šnipinėjimo skyrius
Table of Contents
Dar viena grėsmė kibernetinėje arenoje
Į sceną įžengė dar vienas slaptas įrankis, žinomas kaip BEARDSHELL , žymintis dar vieną sudėtingą su Rusija susijusios grėsmių grupuotės APT28 žingsnį. Ukrainos valdžia atsekė šią kenkėjišką programą iki tikslinės kibernetinės kampanijos, nukreiptos prieš vyriausybės infrastruktūrą, ir tai iliustruoja, kaip šiuolaikinės kibernetinės atakos dabar sklandžiai derina socialinę inžineriją, slaptus perdavimo metodus ir daugiasluoksnes kenkėjiškų programų sistemas.
Kas yra BEARDSHELL?
„BEARDSHELL“ yra kenkėjiška programa, parašyta C++ kalba, kuri veikia kaip nuotolinės prieigos galinės durys. Įdiegus ją aukos kompiuteryje, ji gali pagal poreikį vykdyti „PowerShell“ scenarijus ir tyliai siųsti rezultatus atgal į nuotolinį serverį naudodama failų bendrinimo paslaugą „Icedrive“. Toks funkcionalumo lygis leidžia užpuolikams nuolat palaikyti buvimą užkrėstose sistemose ir tuo pačiu metu rinkti informaciją nesukeliant tiesioginio įtarimo.
Ukrainos kompiuterinių incidentų reagavimo komandos (CERT-UA) atlikto tyrimo metu 2024 m. kovo–balandžio mėn. buvo nustatyta, kad „BEARDSHELL“ programa veikė kartu su atskira ekrano kopijoms daryti skirta priemone, pavadinta „SLIMAGENT“. Kartu šios priemonės rodo aiškų ketinimą: tyliai stebėti ir išgauti duomenis iš užkrėstų galinių įrenginių.
Signalas, makrokomandos ir kenkėjiška programa: neįprasta pristatymo grandinė
Galbūt šią kampaniją dar labiau nerimą kelia naujas jos siuntimo mechanizmas. Vietoj įprastų sukčiavimo el. laiškų užpuolikai naudojo „Signal“ – saugią pranešimų siuntimo platformą, kad siųstų makrokomandomis palaikiusius „Microsoft Word“ dokumentus – netradicinį metodą, apeinantį tradicinius el. pašto saugumo filtrus. Aptariamas dokumentas, apgaulingai pavadintas „Акт.doc“, turėjo įterptas instrukcijas, kurios galiausiai įdiegė kelias kenkėjiškas programas tikslinėje sistemoje.
Atidarius dokumentą, atkuriami du failai: kenkėjiškas DLL failas pavadinimu „ctec.dll“ ir vaizdo failas „windows.png“. DLL failas paleidžiamas kiekvieną kartą paleidus „Windows“ failų naršyklę ir įkelia kenkėjišką kodą iš, atrodytų, nekenksmingo PNG failo. Šis kodas inicijuoja atmintyje esančią COVENANT sistemą, kuri atlieka lemiamą vaidmenį atsisiunčiant ir paleidžiant BEARDSHELL užkardą.
Kodėl tai svarbu: platesnės implikacijos
„BEARDSHELL“ atsiradimas nėra pavienis įvykis. Jo buvimas rodo nuolatinę ir prisitaikančią taktiką, kurią naudoja grėsmių veikėjai, norėdami įsiskverbti į kritines skaitmenines infrastruktūras ir jas stebėti. Užmaskuodamas kenkėjiškas programas multimedijos failuose ir naudodamas patikimas platformas, tokias kaip „Signal“, platinimui, APT28 demonstruoja poslinkį link itin išsisukinėjančių metodų.
Be to, šios operacijos neapsiriboja teorine rizika. Pranešama, kad Ukrainos vyriausybės el. pašto sistemos buvo pažeistos taikant socialinės inžinerijos metodus ir išnaudojant plačiai naudojamų internetinio pašto platformų, tokių kaip „Roundcube“ , „Horde“ ir „Zimbra“, pažeidžiamumus. Kenkėjiška programa ne tik leido neteisėtai pasiekti sistemas, bet ir leido užpuolikams tyliai nutekinti duomenis, tokius kaip el. laiškai, adresų knygos ir sesijos informacija.
Žvilgsnis į užpuolikų taktiką
Šią kampaniją ypač sudėtinga daro kelių sluoksnių ir įrankių naudojimas prieigai gauti, palaikyti ir išplėsti. Kenkėjiška programa „BEARDSHELL“ neveikia atskirai – ji yra didesnės grandinės, apimančios kelis kitus kenkėjiškus komponentus, dalis. Gavus pradinę prieigą, paprastai per „Word“ dokumentą arba sukčiavimo el. laišką, užpuolikai diegia scenarijus, kurie manipuliuoja „Windows“ registro nustatymais, išnaudoja tarpsvetainių scenarijų vykdymo (XSS) pažeidžiamumus ir netgi įterpia kenkėjiškas SQL komandas duomenims rinkti.
Užpuolikai taip pat naudojasi daugybe „JavaScript“ pagrindu sukurtų spragų, kurių kiekvienas turi konkretų tikslą. Vienas variantas nukreipia gaunamus el. laiškus į trečiosios šalies serverį, kitas renka informaciją iš duomenų bazės, o trečias vykdo savavališkas komandas pažeistuose pašto serveriuose. Ši taktika pabrėžia sąmoningas, gerai organizuotas pastangas išlikti integruotam į taikinio skaitmeninę ekosistemą.
Aplenkti grėsmę: ką galima padaryti
Nors „BEARDSHELL“ metodai yra sudėtingi, gynybos strategijos tokios nebūtinai turi būti. CERT-UA pataria stebėti srautą į su šia kampanija susijusius domenus, ypač app.koofr.net ir api.icedrive.net, kaip pirmąjį žingsnį aptinkant įsilaužimo požymius. Sistemų atnaujinimas, žinomų pašto programinės įrangos pažeidžiamumų taisymas ir makrokomandų vykdymo išjungimas pagal numatytuosius nustatymus yra labai svarbios gynybos praktikos.
Organizacijos taip pat raginamos mokyti darbuotojus atpažinti socialinės inžinerijos požymius, ypač neįprastus dokumentų prašymus arba išorinio ryšio metodus, tokius kaip „Signal“. Epochoje, kai silpniausia grandis dažnai yra žmogus, švietimas išlieka viena stipriausių apsaugos priemonių.
Besivystantis kibernetinis mūšio laukas
„BEARDSHELL“ yra daugiapakopė, slapta kibernetinė operacija, kuri tampa vis dažnesnė šiuolaikinėse šnipinėjimo kampanijose. Nors jos techninis sudėtingumas yra pastebimas, ji taip pat pabrėžia platesnę geopolitinę įtampą kibernetinėje erdvėje. Išlikti informuotam, budriam ir iniciatyviam išlieka geriausia apsauga nuo grėsmių, kurios vystosi taip pat greitai, kaip ir technologijos, kuriomis pasitikime.
