APT28 revient sur le devant de la scène. Cette fois, le groupe lié à la Russie utilise les messages Signal pour déployer un malware sophistiqué en Ukraine. Les outils récemment identifiés, BEARDSHELL et COVENANT, emploient des techniques avancées d’évasion et de persistance. Le CERT-UA (Computer Emergency Response Team of Ukraine) a publié une alerte après avoir détecté cette menace visant les infrastructures gouvernementales. Voici ce qu’il faut savoir sur cette campagne en pleine évolution et les risques graves qu’elle représente pour le secteur public.
BEARDSHELL : un cheval de Troie camouflé
D’après le CERT-UA, BEARDSHELL est une porte dérobée personnalisée codée en C++. Ses fonctions principales :
-
Téléchargement et exécution de scripts PowerShell
-
Exfiltration des résultats via l’API Icedrive
Ce malware a été découvert lors d’une réponse à incident entre mars et avril 2024. Il était accompagné de l’outil SLIMAGENT, utilisé pour capturer des captures d’écran sur les machines infectées. Les détails initiaux sur l’infection sont restés flous jusqu’à ce qu’ESET confirme un accès non autorisé à une boîte mail gouvernementale ukrainienne en « gov.ua ».
Chaîne d’attaque Signal et framework COVENANT
L’enquête révèle qu’APT28 utilise Signal pour diffuser un fichier Word malveillant nommé « Акт.doc » contenant des macros déposant deux charges :
-
Une DLL nommée « ctec.dll »
-
Une image PNG nommée « windows.png »
Les macros modifient le registre Windows afin que la DLL s’exécute à l’ouverture de l’Explorateur de fichiers. Celle-ci injecte ensuite du shellcode depuis le PNG et lance COVENANT en mémoire.
Une fois actif, COVENANT télécharge d’autres charges activant la porte dérobée BEARDSHELL, permettant un contrôle à distance total.
Exploitation des webmails et failles XSS
APT28 cible aussi les systèmes webmail ukrainiens obsolètes : Roundcube, Horde, MDaemon, Zimbra. En utilisant des emails de phishing contenant des extraits d’articles légitimes, ils exploitent trois failles XSS connues :
-
CVE-2020-35730
-
CVE-2021-44026
-
CVE-2020-12641
Les exploits sont intégrés dans trois fichiers JavaScript :
-
e.js: redirige les emails et exfiltre les contacts et cookies -
q.js: extrait la base de données Roundcube via injection SQL -
c.js: exécute des commandes arbitraires sur les serveurs mail
Plus de 40 entités ukrainiennes ont reçu ces messages, confirmant une attaque coordonnée à large échelle.
Conseils de détection et de remédiation
Le CERT-UA recommande :
-
Surveiller le trafic suspect vers
app.koofr[.]netetapi.icedrive[.]net -
Mettre à jour immédiatement les plateformes webmail
-
Supprimer les plugins vulnérables
-
Désactiver les macros
Pourquoi c’est important
L’usage de Signal, réputé pour la vie privée, marque une rupture inquiétante dans les tactiques APT. Combinée aux macros, techniques furtives et phishing ciblé, cette campagne illustre l’agilité des acteurs étatiques.
Chez ZENDATA, nous aidons les organisations à renforcer leurs défenses : Threat Intelligence, simulation de phishing, protection des endpoints… nos services répondent à la complexité croissante des menaces.
Conclusion
L’opération d’APT28 est un modèle d’exploitation furtive en couches. Elle rappelle l’importance d’une visibilité complète sur les outils de communication, les emails et les terminaux. Si vous gérez des communications sensibles ou opérez dans une zone à risque géopolitique, revoyez votre modèle de menace.
Ne laissons pas un message Signal nous apprendre que la brèche est déjà là.
Lisez l’article complet de The Hacker News ici.
