В марте–апреле 2024 года система информационно-коммуникационной безопасности одного из центральных органов исполнительной власти стала жертвой тщательно спланированной кибератаки. Команда CERT-UA обнаружила, что злоумышленники использовали целый набор вредоносных инструментов, в том числе сложный бэкдор BEARDSHELL и агент SLIMAGENT, для длительного контроля над скомпрометированной системой.
Характеристика вредоносных инструментов
Инфицированное устройство функционировало под управлением операционной системы Windows и выступало в роли сервера, на котором размещались два основных компонента вредоносного ПО:
- BEARDSHELL — бэкдор, написанный на C++. Особенностью его работы является использование алгоритма шифрования Chacha20-Poly1305, применяемого для защиты коммуникаций с управляющей стороной.
- SLIMAGENT — второе вредоносное устройство, также разработанное на C++, задействованное для выполнения атак и эксфильтрации данных.
Для взаимодействия с операторами атаки BEARDSHELL использовал API-интерфейс облачного сервиса Icedrive. На каждой взломанной машине создавался уникальный каталог, который формировался на основе хэша имени компьютера и GUID аппаратного профиля. Такой подход затрудняет обнаружение и способствует долгосрочному присутствию злоумышленников.
Механизмы заражения и скрытой работы вредоносного кода
Ключевым компонентом атаки стал файл «Ctec.dll», который обладал возможностью расшифровывать и исполнять шелл-код, спрятанный в файле-изображении с именем «Windows.png». Это в конечном счёте приводило к запуску вредоносного ПО Covenant — варианта «KMQSyck.dx4.exe».
В свою очередь Covenant загружал исполняемый файл «%Localappdata%PACKAGSESPLAYSNDSRV.DLL», который реализовывал чтение из аудиофайла «Sample-03.WAV». Такая техника — использование аудиофайла для сокрытия полезной нагрузки — демонстрирует высокий уровень изощрённости злоумышленников и позволяет благополучно распространять бэкдор BEARDSHELL.
Устойчивость вредоноса и методы обеспечения персистентности
BEARDSHELL был оснащён механизмами для надежного сохранения присутствия в системе. В частности, злоумышленники создали записи в реестре Windows в разделе HKEY_CURRENT_USERSoftwareClassesCLSID, которые запускали запланированные задачи в мультимедийной системе. Это позволяло вредоносному коду регулярно активироваться даже после перезапуска компьютера.
Путь проникновения и анализ атаки
Первоначальное нарушение безопасности было инициировано через вредоносный документ «Act.doc», содержащий макрос с вредоносным кодом. Документ был доставлен через мессенджер Signal, что позволяет сделать вывод о намеренном целевом характере атаки.
Анализ инцидента показал, что хакер обладал детальной информацией об организации-мишени задолго до запуска атаки. Это указывает на высокий уровень подготовки и вероятную причастность киберпреступников из группы APT28 — известной своими целенаправленными операциями.
Ответ и дальнейшие действия
Слаженная работа команды CERT-UA в сотрудничестве с военными подразделениями по кибербезопасности позволила своевременно выявить вредоносные инструменты и предотвратить дальнейшее распространение атаки. Несмотря на это, полный масштаб инцидента и последствия остаются предметом тщательного расследования.
«Атака демонстрирует использование передовых методов маскировки и обеспечения устойчивого доступа к системам, что требует постоянного развития защитных мер», — отмечают эксперты CERT-UA.
Данный инцидент вновь подчёркивает важность комплексного подхода к кибербезопасности государственных структур и необходимости оперативного взаимодействия профильных служб на всех уровнях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Расследование киберинцидента 2024: BEARDSHELL и SLIMAGENT в госструктуре".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.