El Equipo de Respuesta a Emergencias de la Computación Ucrania (CERT-UA) advirtió sobre una nueva campaña cibernética de APT28 (también conocido como UAC-0001) relacionado con Rusia, sobre los actores de amenaza que usan mensajes de chat de señal para proporcionar dos nuevas familias de malware llamadas Beardshell and Covenant.
BeardShell Per CERT-UA está escrito en C ++ y proporciona la capacidad de descargar y ejecutar scripts de PowerShell, y carga los resultados de la ejecución a un servidor remoto en la API IceDRive.
La agencia dijo que observó por primera vez BeardShell, junto con un tomador de captura de pantalla llamado Slimagent, como parte de sus esfuerzos de respuesta a incidentes de marzo en las computadoras de Windows.
En ese momento, no había detalles sobre cómo ocurrió la infección, pero la agencia dijo que recibió información de amenazas de ESET más de un año después de que se había detectado evidencia de acceso no autorizado a su cuenta de correo electrónico «Gov.UA».
La naturaleza exacta de la información compartida no se ha revelado, pero puede estar relacionado con un informe de la compañía de seguridad de ciberseguridad eslovacia el mes pasado sobre la explotación de APT28 de varios scripts de sitios de software web (XSS) a RoundCube, Horde, Mdaemon y Zimbra.
Este descubrimiento se desencadenó como resultado del descubrimiento de evidencia importante, incluido el vector de acceso inicial utilizado en el ataque 2024, la existencia de la carcasa de la barba y el marco de malware llamado contratos.
Específicamente, se ha revelado que los actores de amenaza están enviando mensajes a través de la señal para entregar el documento de Microsoft Word de Macro Race («Aop.doc»).
La macro incrustada también realiza cambios en el registro de Windows para que se inicie la DLL la próxima vez que se inicie el archivo Explorer («Explorer.exe»). La tarea principal de la DLL es cargar ShellCode desde un archivo PNG, que ejecuta el marco del pacto residente de memoria.
El Pacto luego descarga dos cargas útiles intermedias diseñadas para lanzar una puerta trasera Beardshell al host comprometido.
Para mitigar los riesgos potenciales asociados con las amenazas, se aconseja a las organizaciones estatales que conozcan el tráfico de la red relacionado con los dominios «App.koofR (.) Net» y «API.icedrive (.) Net».
Ocurre cuando CERT-UA revela la orientación APT28 para las instancias de correo web redondeados de Ucrania en Ucrania y proporciona hazañas para CVE-2020-35730, CVE-2021-44026 y CVE-2020-2641.
El correo electrónico declaró que el «cebo de contenido en forma de artículos en la publicación» NV «(NV.UA) y los exploits de la vulnerabilidad de RoundCube XSS CVE-2020-35730 y el código JavaScript correspondiente diseñado para descargar y ejecutar archivos JavaScript adicionales: ‘Q.JS’ y ‘E.JS’ u ua.
Además de excluir las libros de direcciones de las víctimas y las cookies de sesión a través de solicitudes de publicación HTTP, «E.JS» asegura que cree reglas de buzón para redirigir los correos electrónicos entrantes a las direcciones de correo electrónico de terceros. Mientras tanto, «Q.JS» presenta una exploit de defectos de inyección SQL en RoundCube (CVE-2021-44026) que se utiliza para recopilar información de la base de datos RoundCube.
CERT-UA también encontró un tercer archivo JavaScript llamado «C.JS» que contiene la exploit del defecto de la tercera ronda del cubo (CVE-2020-12641) para ejecutar cualquier comando en el servidor de correo. En general, se han enviado correos electrónicos de phishing similares a direcciones de correo electrónico de más de 40 organizaciones ucranianas.
Source link
