Нове шкідливе програмне забезпечення було використано у нещодавній фішинговій атаці, спрямованій на акаунт електронної пошти українського уряду, коли зловмисники використали Signal для надсилання документа Word, що містив шкідливі макроси

Хакерська група, пов’язана з російською військовою розвідкою, атакує українські державні установи нещодавно виявленим шкідливим програмним забезпеченням, яке доставляється через месенджер Signal. Про це повідомляє Foreign Ukraine з посиланням на The Record.

Два штами шкідливого програмного забезпечення, що використовувалися в останній кібератаці, — BeardShell та SlimAgent — були виявлені українською командою реагування на комп’ютерні надзвичайні ситуації (CERT-UA).

BeardShell функціонує як бекдор, здатний виконувати скрипти PowerShell, тоді як SlimAgent призначений для прихованого захоплення зашифрованих скриншотів та їх локального зберігання на заражених пристроях.

Україна приписує атаки APT28, відомому хакерському угрупованню Fancy Bear або Forest Blizzard, яке західні уряди пов’язують із підрозділом 26165 російської військової розвідки ГРУ, який посилив атаки на Київ та його союзників з початку вторгнення в Україну.

За даними CERT-UA, нове шкідливе програмне забезпечення було використано у нещодавній фішинговій атаці, спрямованій на акаунт електронної пошти українського уряду. Зловмисник використав Signal для надсилання документа Word, що містив шкідливі макроси. У CERT-UA зазначили, що хакери мали детальні знання про ціль та скористалися ними, аби обманом змусити отримувача відкрити файл.

Повідомляється, що зловмисники використовували комбінацію бекдора BeardShell та легітимної наступальної системи безпеки Covenant. У CERT-UA заявили, що відсутність інтеграції Signal зі звичайними антивірусними інструментами дозволила шкідливому програмному забезпеченню уникнути виявлення. Хакери також використовували легітимні хмарні сервіси для керування зараженими системами.

Українські чиновники стверджують, що російські державні хакери дедалі частіше використовують Signal для доставки шкідливого програмного забезпечення, спрямованого на урядовців та військовослужбовців.

Соціальна інженерія залишається ключовим компонентом цих операцій — в останньому випадку хакери видавали себе за чиновників, запитуючи цифровий підпис, аби переконати жертв відкрити шкідливі вкладення.

Західні експерти з кібербезпеки повідомляли про подібні кампанії. Google нещодавно пов’язав російську групу Sandworm із захопленими українськими бойовими пристроями, де викрадені акаунти Signal були підключені до російських систем для збору розвідувальних даних.

Інша група, UNC4221, розгорнула фішинговий комплект, який імітував український мобільний додаток для артилерії «Кропива» для крадіжки геолокації та даних пристроїв за допомогою корисного навантаження JavaScript, відомого як Pinpoint.