Сегодня информационная безопасность становится одной из приоритетных задач для многих государств, особенно в условиях современных киберугроз, исходящих от высокоорганизованных и мотивированных группировок. Одной из таких угроз является активность российско-связанных хакерских групп, в числе которых выделяется APT28, также известная под названием UAC-0001. Недавние расследования компьютерной аварийной команды Украины (CERT-UA) раскрыли использование APT28 нового подхода с помощью мессенджера Signal для распространения двух уникальных семейств вредоносных программ — BEARDSHELL и COVENANT. Эта кибератака направлена преимущественно на государственные и военные структуры Украины и носит характер целенаправленной кампании шпионажа и саботажа. Киберугроза, исходящая от APT28, приобретает всё более изощрённый характер.
Использование Signal как канала коммуникации и доставки вредоносных вложений позволяет злоумышленникам обходить традиционные средства защиты и повысить уровень скрытности атак. Суть операции заключается в отправке через Signal сообщений, содержащих макросы, встроенные в документы Microsoft Word, которые при открытии активируют цепочку заражения внутренних систем. Вредоносное ПО BEARDSHELL, написанное на языке программирования C++, является ключевым инструментом злоумышленников. Оно способно загружать и выполнять PowerShell-скрипты, создавать обратные каналы связи и передавать данные с заражённого устройства на удалённые сервера злоумышленников, используя API популярного облачного хранилища Icedrive. Это позволяет злоумышленникам не только получать контроль над системой, но и оперативно извлекать важную информацию, включая результаты выполнения команд и скриншоты с экрана.
В ходе расследования CERT-UA было обнаружено также использование дополнительного инструмента, известного как SLIMAGENT, предназначенного для захвата скриншотов и мониторинга активности пользователей. Ранее детали об этом ПО оставались неизвестными, однако теперь можно утверждать, что эти компоненты работают в связке, обеспечивая полный контроль над заражённой машиной. Примечательной особенностью механизма проникновения является использование вредоносного документа под названием «Акт.doc». После запуска данный файл активирует макрос, который внедряет в систему DLL-библиотеку с именем «ctec.
dll» и PNG-изображение «windows.png». Последняя служит хранилищем для shell-кода, который загружается в память и инициирует работу COVENANT — командного фреймворка, используемого для управления скомпрометированными системами. COVENANT выступает в роли промежуточного звена в цепочке атаки. Он загружает и выполняет дополнительные полезные нагрузки, запускает BEARDSHELL и способствует установлению устойчивого канала связи с командным центром хакеров.
Этот прогрессивный подход доказывает высокий уровень технологического оснащения и продуманности атакующей группы. CERT-UA также выявила, что APT28 активно эксплуатировала уязвимости в различных почтовых платформах, включая Roundcube, Horde, MDaemon и Zimbra. Особое внимание было уделено старым версиям Roundcube, где через XSS-уязвимости злоумышленники осуществляли выполнение произвольного JavaScript-кода для компрометации почтовых серверов украинских государственных учреждений. Использование известных багов CVE-2020-35730, CVE-2021-44026 и CVE-2020-12641 свидетельствует о попытках проникновения, замаскированных под информационные сообщения с якобы новостными материалами. Данные скрипты (например, файлы «q.
js», «e.js» и «c.js») не только обеспечивали захват сессий и адресных книг, но и способствовали переадресации входящей корреспонденции на сторонние почтовые ящики, что давало злоумышленникам возможность незаметно эксплуатировать инфраструктуру жертвы, собирать важные данные и сохранять долгосрочный доступ. Фокус атак на учреждения, связанные с военно-административными функциями, логистикой и командными структурами, свидетельствует о целенаправленном сборе разведывательной информации с целью получения преимуществ в зоне конфликта. По мнению экспертов из французской компании Sekoia, имеющей собственное название операции — Phantom Net Voxel, подобные кампании идеально вписываются в стратегию ГРУ и связанные с ним APT-группы, включая APT28, которые специализируются на киберразведке и саботаже.
Эксперты рекомендуют государственным организациям и предприятиям усилить мониторинг сетевого трафика, в частности обращая внимание на обращения к доменам «app.koofr[.]net» и «api.icedrive[.]net».
Именно через эти ресурсы происходит обмен данными с командными серверами злоумышленников. В текущих условиях актуальность этой информации трудно переоценить. Она призывает к немедленной пересмотренной защите и обновлению системного и программного обеспечения, исключению старых уязвимостей в веб-почтовых сервисах, а также развитию комплексной стратегии кибербезопасности, включающей обучение персонала и внедрение современных средств обнаружения и предотвращения атак. Ситуация с распространением BEARDSHELL и COVENANT через Signal подчёркивает важность постоянного улучшения инструментов кибердефенса. Технологический арсенал противника становится всё более продвинутым, а используемые им методы — изобретательнее и незаметнее.
Вызовы, стоящие перед специалистами по безопасности, сегодня становятся глобальными и требуют координации усилий множества структур и международного сотрудничества. Таким образом, наблюдаемая кампания APT28 является ярким примером того, как перспективные векторы атаки сочетаются с активным использованием легитимных коммуникационных каналов и устаревшего программного обеспечения для достижения стратегических целей. Успех противодействия таким операциям напрямую зависит от уровня информированности, готовности реагирования и технической оснащённости защищаемых структур. С учётом текущего развития событий, украинские CERT и международные партнёры продолжают работать над сбором и анализом данных, а также предоставляют своевременные рекомендации для обеспечения безопасности национальной цифровой инфраструктуры и защиты от кибершпионажа. Важно последовательно внедрять изменения, отслеживать аномалии в сетевом трафике и пользоваться передовыми решениями в области информационной безопасности.
В конечном итоге, понимание тонкостей и особенностей работы вредоносных комплексов BEARDSHELL и COVENANT не только помогает сдерживать текущие атаки, но и строит основу для заблаговременной защиты от будущих угроз. Для всех специалистов и организаций, участвующих в защите критических информационных систем, ключом к успеху остаётся постоянное обучение, обмен информацией и внедрение инновационных технологий.
