A Equipe de Resposta a Emergências de Computação da Ucrânia (CERT-UA) alertou sobre uma nova campanha de ciberataque pelo grupo APT28, vinculado à Rússia (também conhecido como UAC-0001), utilizando mensagens de chat do Signal para entregar duas novas famílias de malware denominadas BEARDSHELL e COVENANT.
BEARDSHELL, segundo o CERT-UA, é escrito em C++ e oferece a capacidade de baixar e executar scripts PowerShell, bem como fazer upload dos resultados da execução de volta para um servidor remoto através da API do Icedrive.
A agência afirmou que observou pela primeira vez o BEARDSHELL, ao lado de uma ferramenta de captura de tela chamada SLIMAGENT, como parte dos esforços de resposta a incidentes em março-abril de 2024, em um computador com Windows.
Embora, naquela época, não houvessem detalhes disponíveis sobre como a infecção ocorreu, a agência disse que recebeu informações de inteligência de ameaças da ESET mais de um ano depois, que detectou evidências de acesso não autorizado a uma conta de email "gov.ua".
A natureza exata das informações compartilhadas não foi divulgada, mas provavelmente está relacionada a um relatório da empresa eslovaca de cibersegurança no mês passado, que detalhou a exploração de vulnerabilidades de cross-site scripting (XSS) em vários softwares de webmail como Roundcube, Horde, MDaemon e Zimbra pelo APT28 para invadir entidades governamentais ucranianas.
Investigações adicionais desencadeadas como resultado desta descoberta revelaram evidências cruciais, incluindo o vetor de acesso inicial usado no ataque de 2024, bem como a presença de BEARDSHELL e um framework de malware rotulado como COVENANT.
Especificamente, veio à luz que os atores de ameaças estão enviando mensagens no Signal para entregar um documento do Microsoft Word com macro ("Акт.doc"), que, ao ser lançado, solta dois payloads: uma DLL maliciosa ("ctec.dll") e uma imagem PNG ("windows.png").
A macro embutida também faz modificações no Registro do Windows para garantir que a DLL seja lançada quando o Explorador de Arquivos ("explorer.exe") for iniciado na próxima vez.
A principal tarefa da DLL é carregar o shellcode a partir do arquivo PNG, resultando na execução do framework COVENANT residente na memória.
O COVENANT subsequente faz download de mais dois payloads intermediários que são projetados para lançar o backdoor BEARDSHELL no host comprometido.
Para mitigar os potenciais riscos associados à ameaça, recomenda-se que as organizações estatais fiquem atentas ao tráfego de rede associado aos domínios "app.koofr[.]net" e "api.icedrive[.]net."
A divulgação ocorre enquanto o CERT-UA revelou o direcionamento pelo APT28 de instâncias desatualizadas do webmail Roundcube na Ucrânia para entregar exploits para
CVE-2020-35730
,
CVE-2021-44026
e
CVE-2020-12641
por meio de emails de phishing que ostensivamente contêm texto sobre eventos noticiosos, mas que armam essas falhas para executar JavaScript arbitrário.
O email "continha uma isca de conteúdo na forma de um artigo da publicação 'NV' (nv.ua), bem como um exploit para a vulnerabilidade XSS do Roundcube
CVE-2020-35730
e o respectivo código JavaScript projetado para baixar e executar arquivos JavaScript adicionais: 'q.js' e 'e.js'", disse o CERT-UA.
"E.js" garante a criação de uma regra de caixa de entrada para redirecionar emails recebidos para um endereço de email de terceiros, além de exfiltrar o livro de endereços da vítima e cookies de sessão via solicitações HTTP POST.
Por outro lado, "q.js" possui um exploit para uma falha de injeção SQL no Roundcube (
CVE-2021-44026
) usado para coletar informações do banco de dados Roundcube.
O CERT-UA disse que também descobriu um terceiro arquivo JavaScript chamado "c.js" que inclui um exploit para uma terceira falha do Roundcube (
CVE-2020-12641
) para executar comandos arbitrários no servidor de e-mail.
No total, e-mails de phishing semelhantes foram enviados aos endereços de email de mais de 40 organizações ucranianas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...