Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware BEARDSHELL

Malware BEARDSHELL

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una advertencia sobre una nueva campaña de ciberataques orquestada por APT28, un grupo de amenazas vinculado a Rusia y también conocido como UAC-0001. Esta operación utiliza mensajes de chat de Signal para distribuir dos familias de malware recientemente identificadas, identificadas como BEARDSHELL y COVENANT, lo que marca una notable evolución en las tácticas del grupo.

BEARDSHELL y SLIMAGENT: Un dúo peligroso

BEARDSHELL, desarrollado en C++, se detectó por primera vez entre marzo y abril de 2024, implementado en un sistema Windows junto con una herramienta de captura de pantalla llamada SLIMAGENT. Las capacidades de BEARDSHELL incluyen la ejecución de scripts de PowerShell y la carga del resultado a un servidor remoto mediante la API de Icedrive.

En el momento de la detección inicial, CERT-UA desconocía cómo se infiltró el malware en el sistema. Sin embargo, hallazgos recientes, provocados por el acceso no autorizado a una cuenta de correo electrónico 'gov.ua', han revelado el vector de ataque inicial utilizado en el incidente de 2024. Esta investigación más profunda confirmó la implementación tanto de BEARDSHELL como de un framework de malware conocido como COVENANT.

Cadena de infección: documentos con macros y cargas útiles de DLL

El ataque comienza con un mensaje de Signal que contiene un documento malicioso de Microsoft Word titulado «Акт.doc». Este documento incluye una macro incrustada que, al activarse, proporciona dos componentes:

  • Una DLL maliciosa: ctec.dll
  • Una imagen PNG disfrazada: windows.png

La macro modifica el Registro de Windows para garantizar que la DLL se ejecute la próxima vez que explorer.exe. Esta DLL lee el shellcode oculto en la imagen PNG y activa el marco de malware COVENANT, que reside en la memoria.

Después de la activación, COVENANT procede a descargar y ejecutar dos cargas intermedias que finalmente instalan la puerta trasera BEARDSHELL, otorgando control persistente sobre el sistema infectado.

COVENANT: Un sofisticado marco de trabajo contra malware en acción

El framework COVENANT desempeña un papel fundamental en esta operación, actuando como centro de ejecución de malware adicional. Su diseño modular permite la implementación flexible de cargas útiles, lo que en este caso conduce directamente a la ejecución de BEARDSHELL. Este framework residente en memoria evade los mecanismos de detección tradicionales, lo que lo hace especialmente peligroso para entornos específicos.

Recomendaciones de monitoreo y mitigación

Para reducir la exposición a esta campaña, CERT-UA recomienda a las redes gubernamentales y empresariales que monitoreen el tráfico asociado con los siguientes dominios:

  • aplicación.koofr.net
  • api.icedrive.net

Estar atento a las conexiones salientes a estos dominios podría ayudar a detectar señales tempranas de compromiso.

Conclusión: amenazas persistentes y en evolución

APT28 continúa perfeccionando sus técnicas de ataque, incorporando plataformas de mensajería modernas como Signal y combinándolas con vulnerabilidades de sistemas heredados. Este enfoque dual, que utiliza tanto malware de reciente desarrollo como exploits conocidos, subraya la persistencia del grupo y la importancia de las defensas de ciberseguridad por capas. Las organizaciones, especialmente las agencias gubernamentales, deben mantenerse alerta y monitorear proactivamente el tráfico de la red para detectar indicadores de vulnerabilidad.

Tendencias

Mas Visto

Cargando...