APT28 атакует государственные органы из-за отправки документов в Signal
Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA фиксирует новые кибератаки на госорганы. Для поражения систем злоумышленники используют многоэтапную цепочку, которая начинается с отправки вредоносных документов через Signal.
Программа разработана с использованием языка программирования C++. Основное функциональное назначение – изготовление снимков экрана (EnumDisplayMonitors -> CreateCompatibleDC/CreateCompatibleBitmap/BitBlt -> GdipSaveImageToStream), их шифрование (AES+RSA) и сохранение локально на ЭВМ в формате: %TEMP%\Desktop_%d-%m-%.
На момент исследования обстоятельства первичной компрометации сервера, в частности, способ доставки программ установлен не был. Информация об обнаруженных файлах передана для исследования вверенному кругу производителей средств защиты и исследователей киберугроз.
В мае 2025 года от компании ESET получена оперативная информация по выявлению признаков несанкционированного доступа к электронному почтовому ящику в доменной зоне gov.ua.
С целью предотвращения реализации киберугрозы, CERT-UA во взаимодействии с Центром кибернетической безопасности информационно-телекоммуникационных систем воинской части А0334 приняты меры по реагированию на киберинцидент.
В результате проведения компьютерно-технического исследования выявлены программные средства – компонент фреймоворка COVENANT и бекдор BEARDSHELL, а также выяснен способ первичного поражения. На этот раз неустановленным лицом с помощью Signal послан документ с названием "Акт.doc", содержащий макрос. При этом, что очевидно из переписки, злоумышленник имел достаточно информации относительно объекта атаки и владел деталями положения дел в касающейся части.
В случае активации содержимого документа код макроса обеспечит создание на ЭВМ двух файлов: %APPDATA%\microsoft\protect\ctec.dll (будет скопирован с %TEMP%\cache_d3qf5gw56jikh5tb6) и %LOCALAPPDATA%\windows.png, а также создание ключа в реестре "HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32" (COM-hijacking), что, в свою очередь, обеспечит загрузку созданной DLL при следующем запуске процесса explorerexe.
Основным предназначением файла ctec.dll является дешифрование и запуск шеллкода из файла windows.png, что, в свою очередь, приведет к запуску в памяти ЭВМ компонента фреймворка COVENANT (ksmqsyck.dx4.exe), который, в качестве канала управления, использует API сервиса.
Исходя из деталей компьютерно-технического исследования предполагаем, что COVENANT использован для загрузки на ЭВМ исполняемого файла "%LOCALAPPDATA%\Packages\PlaySndSrv.dll" и файла "%USERPROFILE%\Music\Samples\sample-03.wav". В конце концов, PlaySndSrv.dll обеспечит считывание из файла sample-03.wav и запуск шелкода, что в результате приведет к запуску на ЭВМ бэкдора BEARDSHELL. Заметим, что персистентность “PlaySndSrv.dll” обеспечивается созданием ключа в реестре “HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32” (COM запланированной задачей "Microsoft\Windows\Multimedia\SystemSoundsService".
Успешность реализации киберугроз объясняется возможностью запуска макросов, неконтролируемостью хостовыми средствами защиты Signal'а, как средства доставки информации на ЭВМ, а также использованием API легитимных сервисов в качестве канала управления. Рекомендуем обратить внимание на сетевое взаимодействие с app.koofr.net и api.icedrive.net.
Описанная активность ассоциирована с деятельностью группировки UAC-0001 (APT28), контролируемой российскими спецслужбами.
- Последние
- Популярные
- Июнь, 27
-
- Июнь, 25
-
-
- Июнь, 20
-
- Июнь, 18
-
- Июнь, 17
-
- Июнь, 16
-
- Июнь, 13
-
-
- Июнь, 10
-
-
- Июнь, 09
-
-
- Июнь, 05
-
- Июнь, 02
-
- Май, 28
-
- Май, 26
-
-
- Май, 22
-
Новости по дням
28 июня 2025
