Az APT28 a Signal üzenetküldőt kihasználva telepít kártevőket

September 16, 2025 Yanac APT28, BeardShell, Fancy Bear, IOC, Oroszország, Sekoia, Sekoia.io, Signal, SlimAgent, Ukrajna

A Sekoia.io Threat Detection and Response csapata egy összetett APT28-kampányt azonosított, amely privát Signal-csatornákon és célzott üzenetekben (spearphishing) terjesztett rosszindulatú Office-dokumentumokkal indítja a fertőzést. A vizsgálat 2025 elején partneri minták nyomán indult; a CERT-UA 2025. június 21-én az APT28-nak tulajdonította a két eddig nem dokumentált komponenst, a BeardShellt és a nyílt forrású Covenant keretrendszert, amit a Sekoia elemzése megerősített és további, korábban nem ismertetett mintákkal és technikákkal egészített ki. Az APT28 (Sofacy, Fancy Bear, BlueDelta stb.) az orosz GRU 85. központjához köthető, és 2025-ben több nemzetközi figyelmeztetésben is szerepelt; a Sekoia januárban a „Double-Tap” néven azonosított műveletet is hozzájuk kapcsolta.

A fertőzési lánc lényege: a támadó a megtámadott felettesének álcázza magát, sürgős döntést vagy retorziót emleget, így veszi rá az áldozatot a melléklet megnyitására. A dokumentum VBA-makrói felhasználói szintű COM-eltérítést hajtanak végre: ellenőrzések után két fájlt (prnfldr.dll, windows.png) ejtenek le, a DLL-t COM-szerverként regisztrálják, majd az Explorer betöltésekor – a nyomtatási funkciók proxizása mellett – egy új szál a PNG LSB-ben rejtett shellcode-ot kitölti és visszafejti. Ez inicializálja a .NET CLR-t, betölti a Covenant GruntHTTPStagerét, a C2-kapcsolat pedig a Koofr felhőszolgáltatáson keresztül zajlik. A CERT-UA szerint az első fázis két további fájlt (sample-03.wav, PlaySndSrv.dll) is letölt, amelyek a BeardShellt indítják; a BeardShell az Icedrive-on álcázza a forgalmat, négyóránként titkosított PowerShell-parancsokat futtat, C++ DLL-je egyszerű egybájtos XOR-t és AES-CBC-t használ.

A kutatók összesen 11, ukrán katonai adminisztrációt imitáló dokumentumot azonosítottak. A makrók az Office-verzióhoz igazodnak, „Print Layout” nézetre váltanak, bájtpáros helyettesítéssel deobfuszkálnak, ellenőrzik a .NET jelenlétét és elrejtik a ledobott fájlokat – mindez perzisztenciát és a sandboxok elkerülést szolgálja. A legitim felhőszolgáltatások (Koofr, Icedrive) és az open-source Covenant kombinációja, a steganográfiás payload-szállítás és a COM-eltérítés érett, lopakodó TTP-kre utal, különösen katonai célpontok – például brigád-szintű adminisztráció – ellen, ahol valószínű az első vonalból származó műveleti információk gyűjtése. A kampány 2025 augusztusában felfegyverzett Excel-dokumentumokkal, a Filen.io közvetítésével bukkant fel újra; továbbra is nyitott kérdés a BeardShell pontos bevetési mechanizmusa és a SlimAgent keylogger viszonya a fő fertőzési lánchoz, ami a hosszú távú hozzáférést és az észlelés elkerülését célzó, megerősített eszköztárra utal.

(forrás)

You May Also Like

Az ukrán hírszerzés a kiber-önkéntesekkel együtt közel száz orosz internetes célpontot támadott meg

APT a Hewlett Packard hálózatán

Behavioral IOC-k fontossága a felhőben