BEARDSHELL惡意軟體:數位間諜活動的新篇章
Table of Contents
網路領域的另一種威脅
又一個被稱為「BEARDSHELL」的後門程序現身,標誌著與俄羅斯相關的威脅組織APT28又一次採取了高明的行動。烏克蘭當局已追蹤到該惡意軟體與一起針對政府基礎設施的網路攻擊活動有關,這表明現代網路攻擊已將社會工程學、隱密的傳播方式和多層惡意軟體框架無縫融合。
什麼是 BEARDSHELL?
BEARDSHELL 是一個用C++編寫的惡意程序,可充當遠端存取後門。一旦安裝在受害者的電腦上,它就可以按需執行 PowerShell 腳本,並使用 Icedrive 檔案共用服務悄悄地將結果傳送回遠端伺服器。這種等級的功能允許攻擊者在受感染的系統中保持持久存在,同時收集情報,而不會立即引起懷疑。
烏克蘭電腦緊急應變小組 (CERT-UA) 在 2024 年 3 月至 4 月的調查中發現了 BEARDSHELL,並發現它與一個名為 SLIMAGENT 的截圖工具同時運作。這些工具共同顯示了一個明確的意圖:靜默監控受感染端點並從中獲取數據。
訊號、巨集和惡意軟體:不尋常的傳播鏈
或許,這次攻擊活動更令人擔憂的是其新穎的傳播機制。攻擊者並未使用典型的釣魚郵件,而是使用安全訊息平台Signal發送啟用巨集的 Microsoft Word 文件-這是一種繞過傳統電子郵件安全過濾器的非常規方法。這份名為「Акт.doc」的文件包含嵌入指令,最終會在目標系統上安裝多個惡意軟體負載。
開啟文件後,會釋放兩個檔案:一個名為 ctec.dll 的惡意 DLL 檔案和一個名為 windows.png 的圖片檔案。該 DLL 檔案設定為在 Windows 檔案總管啟動時啟動,並從看似無害的 PNG 檔案中載入惡意 Shellcode。這個 Shellcode 會啟動駐留在記憶體中的COVENANT框架,該框架在下載和啟動 BEARDSHELL 後門的過程中起著至關重要的作用。
為何重要:更廣泛的影響
BEARDSHELL 的出現並非個案。它的出現表明,威脅行為者用於滲透和監視關鍵數位基礎設施的策略具有持續性和適應性。透過將惡意軟體偽裝在多媒體檔案中,並利用 Signal 等可信任平台進行傳播,APT28 正向高度規避的技術轉變。
此外,這些操作並非僅限於理論上的風險。據報道,烏克蘭政府電子郵件系統遭到入侵,攻擊者利用社會工程學和Roundcube 、Horde和Zimbra等廣泛使用的網路郵件平台的漏洞進行攻擊。該惡意軟體不僅允許未經授權的訪問,還能讓攻擊者悄悄竊取電子郵件、通訊錄和會話資訊等資料。
攻擊者的攻擊手法一瞥
這次攻擊活動之所以格外複雜,是因為它使用了多層和多種工具來取得、維護和提升存取權限。 BEARDSHELL 惡意軟體並非孤立運作,而是由其他多個惡意元件組成的更大攻擊鏈的一部分。一旦獲得初始存取權限(通常透過 Word 文件或釣魚郵件),攻擊者就會部署腳本來操縱 Windows 登錄機碼設定、利用跨站腳本 (XSS) 漏洞,甚至注入惡意 SQL 命令來竊取資料。
攻擊者也利用了多種基於 JavaScript 的漏洞,每種漏洞都有其特定的用途。一種變體會將收到的電子郵件重定向到第三方伺服器,另一種變體會收集資料庫信息,還有一種變體會在受感染的郵件伺服器上運行任意命令。這些策略凸顯了攻擊者精心策劃的、旨在潛伏在目標數位生態系統中的行動。
領先威脅:我們可以做什麼
雖然 BEARDSHELL 的攻擊手段很複雜,但防禦策略卻不然。 CERT-UA 建議監控與此攻擊活動相關的網域流量,尤其是 app.koofr.net 和 api.icedrive.net,作為偵測入侵跡象的第一步。保持系統更新、修補郵件軟體中已知的漏洞以及預設停用巨集執行都是至關重要的防禦措施。
各機構還應鼓勵員工培訓,使其能夠識別社會工程學的跡象,尤其是不尋常的文件請求或像 Signal 這樣的帶外通信方法。在這個最薄弱的環節往往是人為的時代,教育仍然是最強大的防禦手段之一。
不斷演變的網路戰場
BEARDSHELL 代表了多管齊下、隱密的網路行動,在現代間諜活動中日益常見。雖然其技術複雜性引人注目,但也凸顯了網路空間更廣泛的地緣政治緊張局勢。保持資訊靈通、保持警覺、積極主動,仍然是抵禦威脅的最佳防御手段,因為威脅的演變速度與我們所依賴的技術一樣快。
