详细内容或原文请订阅后点击阅览
APT28 使用自定义恶意软件对乌克兰军队进行长期间谍活动
APT28 使用 BEARDSHELL 和 COVENANT 恶意软件监视乌克兰军事人员,自 2024 年 4 月起实现长期监视。与俄罗斯有关的组织 APT28(又名 UAC-0001、又名 Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta 和 STRONTIUM)已使用 BEARDSHELL 和 COVENANT 恶意软件对乌克兰军事人员进行长期监视。据 ESET 称,该活动于 2024 年 4 月开始,并依赖于 [...]
来源:Security Affairs _恶意软件APT28 使用自定义恶意软件对乌克兰军队进行长期间谍活动
APT28 使用 BEARDSHELL 和 COVENANT 恶意软件监视乌克兰军事人员,自 2024 年 4 月以来实现了长期监视。
与俄罗斯有关的组织 APT28(又名 UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta 和 STRONTIUM)已使用 BEARDSHELL 和 COVENANT 恶意软件对乌克兰军事人员进行长期监视。据 ESET 称,该活动于 2024 年 4 月开始,依赖于旨在维持持久访问并从目标系统收集敏感信息的定制植入程序。
“自 2024 年 4 月以来,Sednit 的高级开发团队重新出现,推出了一个以两个配对植入程序 BeardShell 和 Covenant 为中心的现代工具包,每个植入程序使用不同的云提供商来实现弹性。”阅读 ESET 发布的报告。 “这种双植入方法能够对乌克兰军事人员进行长期监视。有趣的是,这些当前的工具集显示了该组织 2010 时代植入的直接代码血统。”
APT28 组织至少自 2007 年以来一直活跃,其目标是世界各地的政府、军队和安全组织。 该组织还参与了针对 2016 年总统选举的一系列攻击。
该组织在俄罗斯总参谋部主要情报局 (GRU) 第 85 主要特种服务中心 (GTsSS) 的军事统一 26165 下运作。
BEARDSHELL 和 SLIMAGENT 是两种用 C++ 编写的高级恶意软件工具。 BEARDSHELL 下载、解密(使用 ChaCha20-Poly1305)并运行 PowerShell 脚本,通过 Icedrive API 发送结果。它根据系统标识符在每台受感染的计算机上创建一个唯一的文件夹。 SLIMAGENT 使用 Windows API 捕获屏幕截图,使用 AES 和 RSA 对其进行加密,并使用带有时间戳的文件名将其存储在本地。这两种工具都是隐秘的,使用强加密,并利用合法的云服务来避免检测,凸显了现代 APT 策略。
皮尔路易吉·帕格尼尼