详细内容或原文请订阅后点击阅览
俄罗斯链接APT28使用信号聊天以针对乌克兰官员使用恶意软件
与俄罗斯链接的组APT28使用信号聊天作为攻击向量,以给乌克兰官员提供新的恶意软件菌株。通过俄罗斯与俄罗斯链接的网络行动集团APT28针对乌克兰政府官员,使用信号聊天来提供两种新型的恶意软件,这些恶意软件被跟踪为胡须和苗条。虽然信号本身仍然安全,但攻击者正在利用其在官方[…]
来源:Security Affairs _恶意软件俄罗斯链接APT28使用信号聊天以针对乌克兰官员使用恶意软件
与俄罗斯链接的组APT28使用信号聊天作为攻击向量,以给乌克兰官员提供新的恶意软件菌株。
与俄罗斯相关的网络增长组APT28针对乌克兰政府官员,使用信号聊天来提供两种新型的恶意软件,这些恶意软件被跟踪为胡须和Slimagent。尽管信号本身仍然安全,但攻击者正在利用其在官方通信中日益普及的情况,以使他们的网络钓鱼尝试更具说服力。
在3月至4月2024年,在中央执行机构的信息和通信系统中,乌克兰的计算机和紧急响应在事件响应中,确定了一个被胡须和苗条感染的窗户系统。
Beardshell和Slimagent是用C ++编写的两个高级恶意软件工具。胡须下载,解密(使用chacha20-poly1305),并运行PowerShell脚本,通过ICEDRIVE API发送结果。它根据系统标识符在每个受感染的机器上创建一个唯一的文件夹。 Slimagent使用Windows API捕获屏幕截图,使用AES和RSA对其进行加密,并使用时间戳的文件名在本地存储它们。这两种工具都是隐形的,使用强大的加密和利用合法的云服务,以避免检测,突出现代合适的策略。
2025年5月,ESET研究人员报告说,未经授权访问乌克兰政府的政府gov.ua域中的电子邮件帐户。 CERT-UA与军事部队A0334的网络安全中心合作,对此事件做出了回应。
在法医分析期间,研究人员发现了与盟约框架和胡须后门相关的恶意软件。专家无法确定最初的感染向量。
“使用信号的攻击者交付了一个恶意文件,标题为“截至宏”。从他们的消息中,很明显攻击者对目标有内部知识。”阅读Cert-UA发布的报告。
报告ctec.dll
Windows.png
explorer.exe
APT28