Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT28 атакует через зашифрованные чаты Signal

1 мин
Изображение: recraft Исследователи обнаружили, что группировка APT28 использует зашифрованные чаты в мессенджере Signal для проведения фишинговых атак на государственные структуры Украины. Целью кампании стало распространение ранее неизвестных вредоносных программ BeardShell и SlimAgent. Как подчёркивается специалистами, речь не идёт о взломе самого мессенджера — платформа используется злоумышленниками как канал доставки вредоносного контента в силу своей популярности в госструктурах и высокого уровня доверия к ней. Такой подход помогает атакующим обходить традиционные средства фильтрации. Первичные следы кампании были зафиксированы украинской службой реагирования на киберинциденты CERT-UA в марте 2024 года. На том этапе было известно лишь о попытках доставки вредоносных вложений, но без детального анализа вектора проникновения. Лишь в мае 2025 года специалисты компании ESET передали CERT-UA информацию о несанкционированном доступе к одной из почтовых учётных записей на домене gov.ua,

Изображение: recraft

Исследователи обнаружили, что группировка APT28 использует зашифрованные чаты в мессенджере Signal для проведения фишинговых атак на государственные структуры Украины. Целью кампании стало распространение ранее неизвестных вредоносных программ BeardShell и SlimAgent.

Как подчёркивается специалистами, речь не идёт о взломе самого мессенджера — платформа используется злоумышленниками как канал доставки вредоносного контента в силу своей популярности в госструктурах и высокого уровня доверия к ней. Такой подход помогает атакующим обходить традиционные средства фильтрации.

Первичные следы кампании были зафиксированы украинской службой реагирования на киберинциденты CERT-UA в марте 2024 года. На том этапе было известно лишь о попытках доставки вредоносных вложений, но без детального анализа вектора проникновения. Лишь в мае 2025 года специалисты компании ESET передали CERT-UA информацию о несанкционированном доступе к одной из почтовых учётных записей на домене gov.ua, что стало отправной точкой нового расследования.

В ходе анализа выяснилось, что через приложение Signal отправлялись документы с вредоносным макросом (файл «Акт.doc»), активирующим загрузку вредоноса Covenant. Этот компонент выполнял функцию дроппера, устанавливая в систему компоненты PlaySndSrv.dll и WAV-файл sample-03.wav, в котором содержался шелл-код.

Именно через WAV-файл происходила загрузка BeardShell — ранее не описанного инструмента удалённого управления на базе C++. Он выполнял запуск PowerShell-скриптов, расшифровывая их при помощи алгоритма chacha20-poly1305. Полученные результаты передавались на внешний управляющий сервер через API облачного хранилища Icedrive.

Помимо BeardShell в арсенале нападавших был задействован SlimAgent — инструмент, специализирующийся на съёмке скриншотов. Для выполнения своих задач он обращался к функциям Windows API и сохранял снимки через перехват системных вызовов COM-интерфейсов, встраиваясь в структуру системного реестра.

Оригинал публикации на сайте CISOCLUB: "Группа APT28 распространяет вредоносные программы через чаты Signal, нацеливаясь на украинские учреждения".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.