Logiciel malveillant BEARDSHELL
L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a émis une alerte concernant une nouvelle campagne de cyberattaque orchestrée par APT28, un groupe malveillant lié à la Russie et également connu sous le nom d'UAC-0001. Cette opération utilise les messages de chat Signal pour diffuser deux nouvelles familles de logiciels malveillants, identifiées sous les noms de BEARDSHELL et COVENANT, marquant une évolution notable dans les tactiques du groupe.
Table des matières
BEARDSHELL et SLIMAGENT : un duo dangereux
BEARDSHELL, développé en C++, a été détecté pour la première fois entre mars et avril 2024, déployé sur un système Windows avec un outil de capture d'écran nommé SLIMAGENT. BEARDSHELL permet notamment d'exécuter des scripts PowerShell et de télécharger le résultat sur un serveur distant via l'API Icedrive.
Au moment de la détection initiale, le CERT-UA manquait de clarté sur la manière dont le logiciel malveillant avait infiltré le système. Cependant, des découvertes récentes, issues d'un accès non autorisé à un compte de messagerie « gov.ua », ont révélé le vecteur d'attaque initial utilisé lors de l'incident de 2024. Cette enquête plus approfondie a confirmé le déploiement de BEARDSHELL et d'un framework de logiciels malveillants appelé COVENANT.
Chaîne d’infection : documents contenant des macros et charges utiles DLL
L'attaque commence par un message Signal contenant un document Microsoft Word malveillant intitulé « Акт.doc ». Ce document inclut une macro intégrée qui, une fois activée, fournit deux composants :
- Une DLL malveillante : ctec.dll
- Une image PNG déguisée : windows.png
La macro modifie ensuite le registre Windows pour garantir l'exécution de la DLL au prochain lancement d'explorer.exe. Cette DLL lit le shellcode caché dans l'image PNG et déclenche le framework malveillant COVENANT, situé en mémoire.
Après l'activation, COVENANT procède au téléchargement et à l'exécution de deux charges utiles intermédiaires qui installent finalement la porte dérobée BEARDSHELL, accordant un contrôle persistant sur le système infecté.
COVENANT : Un framework de logiciels malveillants sophistiqué en action
Le framework COVENANT joue un rôle central dans cette opération, servant de plateforme d'exécution pour d'autres malwares. Sa conception modulaire permet un déploiement flexible des charges utiles, conduisant ici directement à l'exécution de BEARDSHELL. Ce framework résident en mémoire échappe aux mécanismes de détection traditionnels, ce qui le rend particulièrement dangereux pour les environnements ciblés.
Recommandations en matière de surveillance et d’atténuation
Afin de réduire l'exposition à cette campagne, le CERT-UA conseille aux réseaux gouvernementaux et d'entreprise de surveiller le trafic associé aux domaines suivants :
- app.koofr.net
- api.icedrive.net
Être vigilant quant aux connexions sortantes vers ces domaines pourrait aider à détecter les premiers signes de compromission.
Conclusion : Des menaces persistantes et évolutives
APT28 continue d'affiner ses techniques d'attaque, intégrant des plateformes de messagerie modernes comme Signal et les combinant avec les vulnérabilités des systèmes existants. Cette double approche, utilisant à la fois des logiciels malveillants récemment développés et des exploits connus, souligne la persistance du groupe et l'importance d'une cybersécurité multicouche. Les organisations, en particulier les agences gouvernementales, doivent rester vigilantes et surveiller proactivement le trafic réseau pour détecter tout signe de compromission.
