Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нові кібератаки на держоргани. Для ураження систем зловмисники використовують багатоетапний ланцюжок, який починається з надсилання шкідливих документів через Signal.
Програма розроблена з використанням мови програмування C++. Основне функціональне призначення – виготовлення знімків екрану (EnumDisplayMonitors -> CreateCompatibleDC/CreateCompatibleBitmap/BitBlt -> GdipSaveImageToStream), їх шифрування (AES+RSA) та збереження локально на ЕОМ у форматі: %TEMP%\Desktop_%d-%m-%Y_%H-%M-%S.svc.
На момент дослідження обставини первинної компрометації серверу, зокрема, спосіб доставки програм, встановлено не було. Інформацію щодо виявлених файлів передано для дослідження довіреному колу виробників засобів захисту та дослідників кіберзагроз.
Водночас, у травні 2025 року від компанії ESET отримано оперативну інформацію щодо виявлення ознак несанкціонованого доступу до електронної поштової скриньки в доменній зоні gov.ua.
З метою запобігання реалізації кіберзагрози, CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 вжито заходів з реагування на кіберінцидент.
В результаті проведення комп’ютерно-технічного дослідження виявлено програмні засоби – компонент фреймоворку COVENANT та бекдор BEARDSHELL, а також з’ясовано спосіб первинного ураження. На цей раз невстановленою особою за допомогою Signal надіслано документ з назвою “Акт.doc”, що містив макрос. При цьому, що очевидно з переписки, зловмисник мав достатньо інформації щодо об’єкту атаки та володів деталями стану справ в частині, що стосується.
У випадку активації вмісту документу код макросу забезпечить створення на ЕОМ двох файлів: %APPDATA%\microsoft\protect\ctec.dll (буде скопійовано з %TEMP%\cache_d3qf5gw56jikh5tb6) та %LOCALAPPDATA%\windows.png, а також, створення ключа в реєстрі операційної системи: “HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32” (COM-hijacking), що, у свою чергу, забезпечить завантаження створеної DLL при наступному запуску процесу explorer.exe (процес також завершується та запускається кодом макросу).
Основним призначенням файлу “ctec.dll” є дешифрування і запуск шеллкоду з файлу “windows.png”, що, у свою чергу, призведе до запуску в пам’яті ЕОМ компоненту фреймворку COVENANT (“ksmqsyck.dx4.exe”), який, в якості каналу управління, використовує API сервісу Koofr.
Виходячи з деталей комп’ютерно-технічного дослідження припускаємо, що COVENANT використано для завантаження на ЕОМ виконуваного файлу “%LOCALAPPDATA%\Packages\PlaySndSrv.dll” та файлу “%USERPROFILE%\Music\Samples\sample-03.wav”. Насамкінець, “PlaySndSrv.dll” забезпечить зчитування з файлу “sample-03.wav” та запуск шелкоду, що в результаті призведе до запуску на ЕОМ бекдору BEARDSHELL. Зауважимо, що персистентність “PlaySndSrv.dll” забезпечується створенням ключа в реєстрі “HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32” (COM-hijacking), що призведе до запуску останньої штатним запланованим завданням “Microsoft\Windows\Multimedia\SystemSoundsService”.
Успішність реалізації кіберзагрози пояснюється можливістю запуску макросів, неконтрольованістю хостовими засобами захисту Signal’у, як засобу доставки інформації на ЕОМ, а також використанням API легітимних сервісів як каналу управління. Рекомендуємо звернути увагу на мережеву взаємодію з “app.koofr.net” та “api.icedrive.net”.
Описану активність асоційовано з діяльністю угруповання UAC-0001 (APT28), що контролюється російськими спецслужбами.
