APT28 атакує державні органи через надсилання документів у Signal

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нові кібератаки на держоргани. Для ураження систем зловмисники використовують багатоетапний ланцюжок, який починається з надсилання шкідливих документів через Signal.

Головні етапи кібератаки

1. Атака починається з того, що зловмисник, добре обізнаний щодо своєї цілі, надсилає через Signal документ Microsoft Word (наприклад, «Акт.doc») із вбудованим макросом.
2. Після відкриття документа та активації макросу на комп’ютері запускається прихований механізм зараження, шкідливий код закріплюється в системі.
3. Потім у пам’яті комп’ютера активується компонент хакерського фреймворку COVENANT. Він використовує API легітимного хмарного сервісу Koofr для отримання команд від зловмисників.
4. Через COVENANT на комп’ютер завантажується та запускається основне шпигунське ПЗ – бекдор BEARDSHELL, що надає хакерам повний контроль над пристроєм.

Деталі атаки

Програма розроблена з використанням мови програмування C++. Основне функціональне призначення – виготовлення знімків екрану (EnumDisplayMonitors -> CreateCompatibleDC/CreateCompatibleBitmap/BitBlt -> GdipSaveImageToStream), їх шифрування (AES+RSA) та збереження локально на ЕОМ у форматі: %TEMP%\Desktop_%d-%m-%Y_%H-%M-%S.svc.

На момент дослідження обставини первинної компрометації серверу, зокрема, спосіб доставки програм, встановлено не було. Інформацію щодо виявлених файлів передано для дослідження довіреному колу виробників засобів захисту та дослідників кіберзагроз.

Водночас, у травні 2025 року від компанії ESET отримано оперативну інформацію щодо виявлення ознак несанкціонованого доступу до електронної поштової скриньки в доменній зоні gov.ua.

З метою запобігання реалізації кіберзагрози, CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 вжито заходів з реагування на кіберінцидент.

В результаті проведення комп’ютерно-технічного дослідження виявлено програмні засоби – компонент фреймоворку COVENANT та бекдор BEARDSHELL, а також з’ясовано спосіб первинного ураження. На цей раз невстановленою особою за допомогою Signal надіслано документ з назвою “Акт.doc”, що містив макрос. При цьому, що очевидно з переписки, зловмисник мав достатньо інформації щодо об’єкту атаки та володів деталями стану справ в частині, що стосується.

У випадку активації вмісту документу код макросу забезпечить створення на ЕОМ двох файлів: %APPDATA%\microsoft\protect\ctec.dll (буде скопійовано з %TEMP%\cache_d3qf5gw56jikh5tb6) та %LOCALAPPDATA%\windows.png, а також, створення ключа в реєстрі операційної системи: “HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32” (COM-hijacking), що, у свою чергу, забезпечить завантаження створеної DLL при наступному запуску процесу explorer.exe (процес також завершується та запускається кодом макросу).

Основним призначенням файлу “ctec.dll” є дешифрування і запуск шеллкоду з файлу “windows.png”, що, у свою чергу, призведе до запуску в пам’яті ЕОМ компоненту фреймворку COVENANT (“ksmqsyck.dx4.exe”), який, в якості каналу управління, використовує API сервісу Koofr.

Виходячи з деталей комп’ютерно-технічного дослідження припускаємо, що COVENANT використано для завантаження на ЕОМ виконуваного файлу “%LOCALAPPDATA%\Packages\PlaySndSrv.dll” та файлу “%USERPROFILE%\Music\Samples\sample-03.wav”. Насамкінець, “PlaySndSrv.dll” забезпечить зчитування з файлу “sample-03.wav” та запуск шелкоду, що в результаті призведе до запуску на ЕОМ бекдору BEARDSHELL. Зауважимо, що персистентність “PlaySndSrv.dll” забезпечується створенням ключа в реєстрі “HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32” (COM-hijacking), що призведе до запуску останньої штатним запланованим завданням “Microsoft\Windows\Multimedia\SystemSoundsService”.

Успішність реалізації кіберзагрози пояснюється можливістю запуску макросів, неконтрольованістю хостовими засобами захисту Signal’у, як засобу доставки інформації на ЕОМ, а також використанням API легітимних сервісів як каналу управління. Рекомендуємо звернути увагу на мережеву взаємодію з “app.koofr.net” та “api.icedrive.net”.

Описану активність асоційовано з діяльністю угруповання UAC-0001 (APT28), що контролюється російськими спецслужбами.