BEARDSHELL恶意软件:数字间谍活动的新篇章
Table of Contents
网络领域的另一种威胁
又一个被称为“BEARDSHELL”的后门程序现身,标志着与俄罗斯相关的威胁组织APT28又一次采取了高明的行动。乌克兰当局已追踪到该恶意软件与一起针对政府基础设施的网络攻击活动有关,这表明现代网络攻击已将社会工程学、隐秘的传播方式和多层恶意软件框架无缝融合。
什么是 BEARDSHELL?
BEARDSHELL 是一个用C++编写的恶意程序,可充当远程访问后门。一旦安装在受害者的计算机上,它就可以按需运行 PowerShell 脚本,并使用 Icedrive 文件共享服务悄悄地将结果发送回远程服务器。这种级别的功能允许攻击者在受感染的系统中保持持久存在,同时收集情报,而不会立即引起怀疑。
乌克兰计算机应急响应小组 (CERT-UA) 在 2024 年 3 月至 4 月的调查中发现了 BEARDSHELL,并发现它与一个名为 SLIMAGENT 的截图工具同时运行。这些工具共同表明了一个明确的意图:静默监控受感染端点并从中获取数据。
信号、宏和恶意软件:不寻常的传播链
或许,此次攻击活动更令人担忧的是其新颖的传播机制。攻击者并未使用典型的钓鱼邮件,而是使用安全消息平台Signal发送启用宏的 Microsoft Word 文档——这是一种绕过传统电子邮件安全过滤器的非常规方法。这份名为“Акт.doc”的文档包含嵌入指令,最终会在目标系统上安装多个恶意软件负载。
打开文档后,会释放两个文件:一个名为 ctec.dll 的恶意 DLL 文件和一个名为 windows.png 的图片文件。该 DLL 文件设置为在 Windows 文件资源管理器启动时启动,并从看似无害的 PNG 文件中加载恶意 Shellcode。该 Shellcode 会启动驻留在内存中的COVENANT框架,该框架在下载和启动 BEARDSHELL 后门的过程中起着至关重要的作用。
为何重要:更广泛的影响
BEARDSHELL 的出现并非孤立事件。它的出现表明,威胁行为者用于渗透和监视关键数字基础设施的策略具有持续性和适应性。通过将恶意软件伪装在多媒体文件中,并利用 Signal 等可信平台进行传播,APT28 正向高度规避的技术转变。
此外,这些操作并非仅限于理论上的风险。据报道,乌克兰政府电子邮件系统遭到入侵,攻击者利用社会工程学和Roundcube 、Horde和Zimbra等广泛使用的网络邮件平台的漏洞进行攻击。该恶意软件不仅允许未经授权的访问,还能让攻击者悄悄窃取电子邮件、地址簿和会话信息等数据。
攻击者的攻击手法一瞥
此次攻击活动之所以格外复杂,是因为它使用了多层级和多种工具来获取、维护和提升访问权限。BEARDSHELL 恶意软件并非孤立运作,而是一条由其他多个恶意组件组成的更大攻击链的一部分。一旦获得初始访问权限(通常通过 Word 文档或钓鱼邮件),攻击者就会部署脚本来操纵 Windows 注册表设置、利用跨站脚本 (XSS) 漏洞,甚至注入恶意 SQL 命令来窃取数据。
攻击者还利用了多种基于 JavaScript 的漏洞,每种漏洞都有其特定的用途。一种变体会将收到的电子邮件重定向到第三方服务器,另一种变体会收集数据库信息,还有一种变体会在受感染的邮件服务器上运行任意命令。这些策略凸显了攻击者精心策划的、旨在潜伏在目标数字生态系统中的行动。
领先于威胁:我们可以做什么
虽然 BEARDSHELL 的攻击手段很复杂,但防御策略却并非如此。CERT-UA 建议监控与此次攻击活动相关的域名流量,尤其是 app.koofr.net 和 api.icedrive.net,作为检测入侵迹象的第一步。保持系统更新、修补邮件软件中已知的漏洞以及默认禁用宏执行都是至关重要的防御措施。
各机构还应鼓励员工培训,使其能够识别社会工程学的迹象,尤其是不寻常的文档请求或像 Signal 这样的带外通信方法。在这个最薄弱的环节往往是人为的时代,教育仍然是最强大的防御手段之一。
不断演变的网络战场
BEARDSHELL 代表了一种多管齐下、隐秘的网络行动,这种行动在现代间谍活动中日益常见。虽然其技术复杂性引人注目,但也凸显了网络空间更广泛的地缘政治紧张局势。保持信息灵通、保持警惕、积极主动,仍然是抵御威胁的最佳防御手段,因为这些威胁正像我们所依赖的技术一样快速发展。
