Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha recentemente lanciato un allarme riguardo una nuova campagna di attacchi informatici condotti dal gruppo APT28, anche noto come UAC-0001 e legato alla Russia. Questi attacchi si distinguono per l’utilizzo della piattaforma di messaggistica Signal per diffondere due nuove famiglie di malware chiamate BEARDSHELL e COVENANT, prendendo di mira in particolare enti governativi ucraini.

BEARDSHELL: caratteristiche e modalità di infezione

BEARDSHELL è un malware scritto in C++ che offre la capacità di scaricare ed eseguire script PowerShell, oltre a caricare i risultati dell’esecuzione su server remoti tramite l’API Icedrive. CERT-UA ha riscontrato la presenza di BEARDSHELL insieme a uno strumento per la cattura di screenshot denominato SLIMAGENT durante analisi forensi su sistemi Windows, in incidenti datati marzo-aprile 2024. Tuttavia, solo tempo dopo, grazie a informazioni condivise da ESET, si è scoperta l’effettiva modalità di infezione: un account email “gov.ua” era stato compromesso sfruttando vulnerabilità XSS in webmail come Roundcube, Horde, MDaemon e Zimbra.

Distribuzione tramite Signal e payload malevoli

Le indagini successive hanno rivelato che APT28 utilizza Signal per inviare documenti Word contenenti macro malevole; il file “Акт.doc”, se aperto, rilascia due payload: una DLL dannosa (“ctec.dll”) e un’immagine PNG (“windows.png”). Il macro modifica anche il registro di sistema di Windows per garantire che la DLL venga caricata al prossimo avvio di Explorer. Il ruolo della DLL è quello di estrarre e avviare shellcode dalla PNG, avviando così il framework COVENANT direttamente in memoria.

COVENANT e persistenza nell’attacco

COVENANT, una piattaforma di controllo remoto, scarica ulteriori payload intermedi che portano all’esecuzione del backdoor BEARDSHELL sul computer infetto. Questa doppia strategia rende particolarmente insidioso l’attacco, poiché sfrutta sia vulnerabilità note nei sistemi di posta sia tecniche avanzate di persistenza e comando e controllo.

Raccomandazioni e tecniche di attacco osservate

CERT-UA raccomanda alle organizzazioni di monitorare attentamente il traffico di rete diretto verso i domini “app.koofr[.]net” e “api.icedrive[.]net”, spesso utilizzati per la comunicazione dei malware. Inoltre, è emerso che APT28 continua a sfruttare vulnerabilità in Roundcube tramite email di phishing ingegnose che veicolano exploit per CVE-2020-35730, CVE-2021-44026 e CVE-2020-12641, permettendo il furto di rubriche, cookie di sessione e l’esecuzione di comandi remoti.

Queste campagne di phishing e malware dimostrano come i gruppi APT sofisticati innovino costantemente le tecniche di attacco, combinando social engineering, vulnerabilità software e canali di comunicazione sicuri per eludere le difese tradizionali e compromettere obiettivi di alto profilo.