حذّرت فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA) من حملة هجوم سيبراني جديدة تقودها مجموعة APT28 المرتبطة بروسيا – والمعروفة أيضاً بالرمز UAC-0001 – استخدمت تطبيق المراسلة المشفّر “Signal” لنقل برمجيتين خبيثتين جديدتين تُعرفان باسم BEARDSHELL وCOVENANT.
ووفقاً لـ CERT-UA، فإن BEARDSHELL مكتوبة بلغة ++C، وتتيح للمهاجمين تنزيل وتنفيذ سكربتات PowerShell، بالإضافة إلى رفع نتائج التنفيذ إلى خادم بعيد عبر واجهة Icedrive API.
وقد رُصدت BEARDSHELL لأول مرة إلى جانب أداة التقاط صور للشاشة تُدعى SLIMAGENT، وذلك خلال عمليات الاستجابة لحوادث تمت بين مارس وأبريل 2024 على جهاز يعمل بنظام Windows.
ورغم عدم توفّر تفاصيل حول آلية الإصابة آنذاك، إلا أن الفريق تلقى معلومات استخباراتية من شركة ESET بعد أكثر من عام، كشفت عن وصول غير مصرح به إلى حساب بريد إلكتروني تابع لنطاق “gov.ua”.
استغلال ثغرات XSS في برمجيات البريد الإلكتروني
ورجّح التقرير أن يكون هذا مرتبطًا بتحقيق سابق نشرته شركة الأمن السيبراني ESET، كشفت فيه أن APT28 استغلت ثغرات XSS في عدة برمجيات بريد إلكتروني مثل Roundcube وHorde وMDaemon وZimbra لاختراق كيانات حكومية أوكرانية.
وقد أسفر التحقيق اللاحق عن الكشف عن أدلة مهمة، منها:
- وسيلة الوصول الأولى المستخدمة في الهجوم عام 2024،
- واكتشاف وجود البرمجيتين BEARDSHELL وCOVENANT.
استخدام Signal لتسليم المستندات الخبيثة
تبين أن المهاجمين اعتمدوا رسائل عبر تطبيق Signal لتسليم مستند Word يحتوي على ماكرو خبيث يحمل اسم “Акт.doc”. عند فتح المستند، يتم إسقاط ملف DLL خبيث باسم “ctec.dll” وصورة PNG باسم “windows.png”.
ويقوم الماكرو أيضًا بتعديل سجل Windows (Registry) لضمان تحميل ملف DLL عند تشغيل “explorer.exe”، حيث يقوم هذا الملف بدوره بتحميل كود خبيث (shellcode) من الصورة، مما يؤدي إلى تنفيذ إطار العمل COVENANT في الذاكرة.
ويعمل COVENANT بعد ذلك على تنزيل حمولة وسيطة إضافية، تمكّن من تفعيل الباب الخلفي BEARDSHELL على الجهاز المصاب.
التوصيات والتحذيرات
أوصت CERT-UA المؤسسات الحكومية بمراقبة حركة الشبكة المرتبطة بالنطاقات التالية:
- app.koofr[.]net
- api.icedrive[.]net
موجة هجمات عبر بريد إلكتروني مستهدف
تأتي هذه التطورات بالتزامن مع كشف CERT-UA عن استهداف APT28 لنسخ قديمة من Roundcube في أوكرانيا، بهدف استغلال ثغرات مثل:
- CVE-2020-35730
- CVE-2021-44026
- CVE-2020-12641
وقد تم إرسال رسائل تصيّد تحتوي على نص من مقال نُشر على موقع “NV” الإخباري الأوكراني، وبداخلها استغلال لثغرات XSS في Roundcube لتشغيل كود جافاسكريبت ضار، وتحميل ملفات إضافية هي:
- q.js – يستغل ثغرة SQL لجمع بيانات من قاعدة Roundcube.
- e.js – يُنشئ قاعدة لإعادة توجيه الرسائل الواردة، ويسرّب دفتر العناوين وملفات تعريف الجلسة.
- c.js – يستغل ثغرة لتنفيذ أوامر على خادم البريد.
