| 0 |
|
Ще рік тому під час вивчення кіберінцидента в інформаційно-комунікаційній системі (ІКС) центрального органу виконавчої влади урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) виявила дві шкідливі програми – Beardshell та Slimagent.
Перша розроблена на C++. Вона забезпечує завантаження, дешифрування та виконання PowerShell-сценаріїв, а також вивантаження отриманого результату. Управління бекдором здійснюється через API сервісу Icedrive. Друга, також на C++. Її основне призначення – створення знімків екрана, їх шифрування (AES+RSA) та збереження локально на ЕОМ.
А у травні 2025 року, реагуючи на інформацію від компанії Eset про чергову кіберзагрозу, фахівці CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 дослідили компонент фреймворку Covenant та бекдор Beardshell та з'ясували спосіб первинного ураження.
На цей раз невстановленою особою за допомогою Signal надіслано документ з назвою «Акт.doc», що містив макрос. При цьому, що очевидно з листування, зловмисник мав достатньо інформації щодо об'єкта атаки та володів деталями стану справ в частині, що стосується.
У випадку активації вмісту документа код макросу забезпечував створення на комп’ютері двох файлів, а також ключа в реєстрі операційної системи. Це своєю чергою призводило до завантаження DLL при наступному запуску процесу explorer.exe (процес також завершується та запускається кодом макросу).
Основним призначенням файлу «ctec.dll» є дешифрування і запуск шеллкоду з файлу «windows.png», що, своєю чергою, призведе до запуску в пам'яті ЕОМ компонента фреймворку Covenant, який для каналу управління використовує API сервісу Koofr.
Успішність реалізації кіберзагрози пояснюється можливістю запуску макросів, неконтрольованістю хостовими засобами захисту Signal, як засобу доставки інформації на ЕОМ, а також використанням API легітимних сервісів як каналу управління.
| 0 |
|
