Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware BEARDSHELL-Malware

BEARDSHELL-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor einer neuen Cyberangriffskampagne der mit Russland verbundenen Bedrohungsgruppe APT28, auch bekannt als UAC-0001. Diese Operation nutzt Signal-Chatnachrichten, um zwei neu identifizierte Malware-Familien mit den Namen BEARDSHELL und COVENANT zu verbreiten. Dies markiert eine bemerkenswerte Weiterentwicklung der Taktik der Gruppe.

BEARDSHELL und SLIMAGENT: Ein gefährliches Duo

BEARDSHELL, entwickelt in C++, wurde erstmals zwischen März und April 2024 entdeckt und auf einem Windows-System zusammen mit einem Screenshot-Erfassungstool namens SLIMAGENT eingesetzt. Zu den Funktionen von BEARDSHELL gehört die Ausführung von PowerShell-Skripten und das Hochladen der resultierenden Ausgabe auf einen Remote-Server mithilfe der Icedrive-API.

Zum Zeitpunkt der ersten Entdeckung war CERT-UA unklar, wie die Malware in das System eingedrungen war. Jüngste Erkenntnisse, ausgelöst durch einen unbefugten Zugriff auf ein „gov.ua“-E-Mail-Konto, enthüllten jedoch den ursprünglichen Angriffsvektor, der im Vorfall von 2024 verwendet wurde. Diese eingehendere Untersuchung bestätigte den Einsatz von BEARDSHELL und eines Malware-Frameworks namens COVENANT.

Infektionskette: Mit Makros versehene Dokumente und DLL-Payloads

Der Angriff beginnt mit einer Signal-Nachricht, die ein bösartiges Microsoft Word-Dokument mit dem Titel „Акт.doc“ enthält. Dieses Dokument enthält ein eingebettetes Makro, das nach der Aktivierung zwei Komponenten ausliefert:

  • Eine bösartige DLL: ctec.dll
  • Ein getarntes PNG-Bild: windows.png

Das Makro nimmt dann Änderungen an der Windows-Registrierung vor, um sicherzustellen, dass die DLL beim nächsten Start von explorer.exe ausgeführt wird. Diese DLL liest den im PNG-Bild versteckten Shellcode und löst das im Speicher befindliche COVENANT-Malware-Framework aus.

Nach der Aktivierung lädt COVENANT zwei Zwischennutzlasten herunter und führt sie aus, die schließlich die BEARDSHELL-Hintertür installieren und so dauerhafte Kontrolle über das infizierte System ermöglichen.

COVENANT: Ausgefeiltes Malware-Framework in Aktion

Das COVENANT-Framework spielt bei dieser Operation eine zentrale Rolle und fungiert als Ausführungszentrale für weitere Schadsoftware. Sein modularer Aufbau ermöglicht die flexible Bereitstellung von Payloads, die in diesem Fall direkt zur Ausführung von BEARDSHELL führen. Dieses speicherresidente Framework entgeht herkömmlichen Erkennungsmechanismen und ist daher besonders gefährlich für Zielumgebungen.

Empfehlungen zur Überwachung und Schadensbegrenzung

Um die Gefährdung durch diese Kampagne zu verringern, empfiehlt CERT-UA Regierungs- und Unternehmensnetzwerken, den mit den folgenden Domänen verbundenen Datenverkehr zu überwachen:

  • app.koofr.net
  • api.icedrive.net

Durch Wachsamkeit gegenüber ausgehenden Verbindungen zu diesen Domänen können Sie frühe Anzeichen einer Kompromittierung erkennen.

Fazit: Anhaltende und sich weiterentwickelnde Bedrohungen

APT28 verfeinert seine Angriffstechniken kontinuierlich und kombiniert moderne Messaging-Plattformen wie Signal mit Schwachstellen in bestehenden Systemen. Dieser zweigleisige Ansatz, der sowohl neu entwickelte Malware als auch bekannte Exploits nutzt, unterstreicht die Hartnäckigkeit der Gruppe und die Bedeutung mehrschichtiger Cybersicherheitsmaßnahmen. Organisationen, insbesondere Behörden, müssen wachsam bleiben und den Netzwerkverkehr proaktiv auf Anzeichen einer Kompromittierung überwachen.

Im Trend

Am häufigsten gesehen

Wird geladen...