APT28がウクライナでBEARDSHELLマルウェアとCOVENANTを展開するためにSignalチャットを使用

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、ロシアと関連のあるAPT28（別名UAC-0001）脅威アクターがSignalチャットメッセージを使用して、BEARDSHELLとCOVENANTと名付けられた2つの新しいマルウェアファミリーを配信する新たなサイバー攻撃キャンペーンを警告しました。

CERT-UAによると、BEARDSHELLはC++で書かれており、PowerShellスクリプトをダウンロードして実行する機能を提供し、実行結果をIcedrive APIを介してリモートサーバーにアップロードすることができます。

同機関は、2024年3月から4月にかけてのインシデント対応の一環として、スクリーンショットを撮影するツールであるSLIMAGENTとともに、Windowsコンピュータで初めてBEARDSHELLを観測したと述べています。

当時、感染がどのように行われたかの詳細はありませんでしたが、同機関は1年以上後にESETから「gov.ua」メールアカウントへの不正アクセスの証拠を検出したという脅威情報を受け取ったと述べています。

共有された情報の正確な性質は明らかにされていませんが、先月スロバキアのサイバーセキュリティ企業からの報告に関連している可能性が高く、Roundcube、Horde、MDaemon、Zimbraなどのウェブメールソフトウェアのクロスサイトスクリプティング（XSS）脆弱性を悪用してウクライナ政府機関を侵害したAPT28の詳細が記載されています。

この発見の結果として引き起こされたさらなる調査により、2024年の攻撃で使用された初期アクセスベクトルや、BEARDSHELLとCOVENANTと呼ばれるマルウェアフレームワークの存在を含む重要な証拠が明らかになりました。

具体的には、脅威アクターがSignal上でメッセージを送信し、マクロが埋め込まれたMicrosoft Wordドキュメント（「Акт.doc」）を配信していることが明らかになりました。このドキュメントを起動すると、悪意のあるDLL（「ctec.dll」）とPNG画像（「windows.png」）の2つのペイロードがドロップされます。

埋め込まれたマクロは、次回ファイルエクスプローラー（「explorer.exe」）が起動されたときにDLLが起動されるようにWindowsレジストリを変更します。DLLの主なタスクは、PNGファイルからシェルコードをロードし、メモリ常駐型COVENANTフレームワークを実行することです。

その後、COVENANTはさらに2つの中間ペイロードをダウンロードし、侵害されたホスト上でBEARDSHELLバックドアを起動するように設計されています。

脅威に関連する潜在的なリスクを軽減するために、国家機関は「app.koofr[.]net」と「api.icedrive[.]net」に関連するネットワークトラフィックを監視することが推奨されています。

この開示は、CERT-UAがウクライナでの古いRoundcubeウェブメールインスタンスを標的にし、CVE-2020-35730、CVE-2021-44026、CVE-2020-12641のエクスプロイトをフィッシングメールを通じて配信し、これらの脆弱性を武器化して任意のJavaScriptを実行することを明らかにした際に発表されました。

メールには、出版物「NV」（nv.ua）からの記事の形でコンテンツの餌が含まれており、Roundcube XSS脆弱性CVE-2020-35730のエクスプロイトと、追加のJavaScriptファイル「q.js」と「e.js」をダウンロードして実行するために設計された対応するJavaScriptコードが含まれているとCERT-UAは述べています。

「E.js」は、被害者のアドレス帳とセッションクッキーをHTTP POSTリクエストを介して流出させることに加えて、受信メールをサードパーティのメールアドレスにリダイレクトするためのメールボックスルールの作成を保証します。一方、「q.js」はRoundcubeのSQLインジェクションの脆弱性（CVE-2021-44026）を悪用し、Roundcubeデータベースから情報を収集するために使用されます。

CERT-UAは、Roundcubeの3番目の脆弱性（CVE-2020-12641）を悪用してメールサーバー上で任意のコマンドを実行するためのエクスプロイトを含む「c.js」と呼ばれる3番目のJavaScriptファイルも発見したと述べています。全体として、同様のフィッシングメールが40以上のウクライナの組織のメールアドレスに送信されました。