A Equipe de Resposta a Emergências de Computação da Ucrânia (CERT-UA) alertou sobre uma nova campanha de ciberataque pelo grupo APT28, vinculado à Rússia (também conhecido como UAC-0001), utilizando mensagens de chat do Signal para entregar duas novas famílias de malware denominadas BEARDSHELL e COVENANT.
BEARDSHELL, segundo o CERT-UA, é escrito em C++ e oferece a capacidade de baixar e executar scripts PowerShell, bem como fazer upload dos resultados da execução de volta para um servidor remoto através da API do Icedrive.
A agência afirmou que observou pela primeira vez o BEARDSHELL, ao lado de uma ferramenta de captura de tela chamada SLIMAGENT, como parte dos esforços de resposta a incidentes em março-abril de 2024, em um computador com Windows.
Embora, naquela época, não houvessem detalhes disponíveis sobre como a infecção ocorreu, a agência disse que recebeu informações de inteligência de ameaças da ESET mais de um ano depois, que detectou evidências de acesso não autorizado a uma conta de email "gov.ua".
A natureza exata das informações compartilhadas não foi divulgada, mas provavelmente está relacionada a um relatório da empresa eslovaca de cibersegurança no mês passado, que detalhou a exploração de vulnerabilidades de cross-site scripting (XSS) em vários softwares de webmail como Roundcube, Horde, MDaemon e Zimbra pelo APT28 para invadir entidades governamentais ucranianas.
Investigações adicionais desencadeadas como resultado desta descoberta revelaram evidências cruciais, incluindo o vetor de acesso inicial usado no ataque de 2024, bem como a presença de BEARDSHELL e um framework de malware rotulado como COVENANT.
Especificamente, veio à luz que os atores de ameaças estão enviando mensagens no Signal para entregar um documento do Microsoft Word com macro ("Акт.doc"), que, ao ser lançado, solta dois payloads: uma DLL maliciosa ("ctec.dll") e uma imagem PNG ("windows.png").
A macro embutida também faz modificações no Registro do Windows para garantir que a DLL seja lançada quando o Explorador de Arquivos ("explorer.exe") for iniciado na próxima vez.
A principal tarefa da DLL é carregar o shellcode a partir do arquivo PNG, resultando na execução do framework COVENANT residente na memória.
O COVENANT subsequente faz download de mais dois payloads intermediários que são projetados para lançar o backdoor BEARDSHELL no host comprometido.
Para mitigar os potenciais riscos associados à ameaça, recomenda-se que as organizações estatais fiquem atentas ao tráfego de rede associado aos domínios "app.koofr[.]net" e "api.icedrive[.]net."
A divulgação ocorre enquanto o CERT-UA revelou o direcionamento pelo APT28 de instâncias desatualizadas do webmail Roundcube na Ucrânia para entregar exploits para
CVE-2020-35730
,
CVE-2021-44026
e
CVE-2020-12641
por meio de emails de phishing que ostensivamente contêm texto sobre eventos noticiosos, mas que armam essas falhas para executar JavaScript arbitrário.
O email "continha uma isca de conteúdo na forma de um artigo da publicação 'NV' (nv.ua), bem como um exploit para a vulnerabilidade XSS do Roundcube
CVE-2020-35730
e o respectivo código JavaScript projetado para baixar e executar arquivos JavaScript adicionais: 'q.js' e 'e.js'", disse o CERT-UA.
"E.js" garante a criação de uma regra de caixa de entrada para redirecionar emails recebidos para um endereço de email de terceiros, além de exfiltrar o livro de endereços da vítima e cookies de sessão via solicitações HTTP POST.
Por outro lado, "q.js" possui um exploit para uma falha de injeção SQL no Roundcube (
CVE-2021-44026
) usado para coletar informações do banco de dados Roundcube.
O CERT-UA disse que também descobriu um terceiro arquivo JavaScript chamado "c.js" que inclui um exploit para uma terceira falha do Roundcube (
CVE-2020-12641
) para executar comandos arbitrários no servidor de e-mail.
No total, e-mails de phishing semelhantes foram enviados aos endereços de email de mais de 40 organizações ucranianas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...