BEARDSHELLマルウェア
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ロシアと関連のある脅威グループAPT28(別名UAC-0001)が仕掛けた新たなサイバー攻撃キャンペーンについて警告を発しました。このキャンペーンでは、Signalチャットメッセージを利用して、新たに特定された2つのマルウェアファミリー(BEARDSHELLおよびCOVENANTとして追跡)を拡散しており、このグループの戦術に顕著な進化が見られます。
目次
BEARDSHELLとSLIMAGENT:危険なデュオ
C++で開発されたBEARDSHELLは、2024年3月から4月にかけて、SLIMAGENTというスクリーンショットキャプチャツールとともにWindowsシステムに展開され、初めて検出されました。BEARDSHELLの機能には、PowerShellスクリプトの実行と、その結果をIcedrive APIを使用してリモートサーバーにアップロードすることが含まれます。
CERT-UAは、最初の検知時点では、マルウェアがどのようにシステムに侵入したかを明確に把握していませんでした。しかし、「gov.ua」メールアカウントへの不正アクセスをきっかけに最近行われた調査により、2024年のインシデントで使用された最初の攻撃ベクトルが明らかになりました。今回の詳細な調査により、BEARDSHELLとCOVENANTと呼ばれるマルウェアフレームワークの両方が展開されていたことが確認されました。
感染チェーン:マクロを組み込んだドキュメントとDLLペイロード
攻撃は、「Акт.doc」というタイトルの悪意のある Microsoft Word 文書を含む Signal メッセージから始まります。この文書には埋め込みマクロが含まれており、起動すると次の 2 つのコンポーネントが配信されます。
- 悪意のあるDLL: ctec.dll
- 偽装された PNG 画像: windows.png
次にマクロはWindowsレジストリを変更し、explorer.exeが次回起動された際にDLLが実行されるようにします。このDLLはPNG画像に隠されたシェルコードを読み取り、メモリ内に存在するCOVENANTマルウェアフレームワークを起動します。
起動後、COVENANT は 2 つの中間ペイロードをダウンロードして実行し、最終的に BEARDSHELL バックドアをインストールして、感染したシステムに対する永続的な制御を許可します。
COVENANT: 高度なマルウェアフレームワークの実用化
COVENANTフレームワークは、この攻撃において中心的な役割を果たし、追加のマルウェア実行ハブとして機能します。モジュール設計により、ペイロードを柔軟に展開することが可能で、今回のケースではBEARDSHELLの実行に直接繋がります。このメモリ常駐型フレームワークは従来の検知メカニズムを回避するため、標的環境において特に危険です。
監視と緩和の推奨事項
このキャンペーンによる被害を軽減するために、CERT-UA は政府および企業のネットワークに対し、次のドメインに関連するトラフィックを監視することを推奨しています。
- app.koofr.net
- api.icedrive.net
これらのドメインへのアウトバウンド接続に注意することで、侵害の兆候を早期に検出できる可能性があります。
結論:持続的かつ進化する脅威
APT28は、Signalのような最新のメッセージングプラットフォームを組み込み、レガシーシステムの脆弱性と組み合わせるなど、攻撃手法を洗練させ続けています。新たに開発されたマルウェアと既知のエクスプロイトの両方を用いたこの二本柱のアプローチは、このグループの執拗さと多層的なサイバーセキュリティ対策の重要性を浮き彫りにしています。組織、特に政府機関は、常に警戒を怠らず、ネットワークトラフィックに侵入の兆候がないか積極的に監視する必要があります。
