APT28 nutzt Signal-Chat zur Verbreitung der BEARDSHELL-Malware

APT28 Exploits Signal Chat to Deliver BEARDSHELL Malware

APT28 ist wieder aktiv. Diesmal setzt die russlandnahe Gruppe auf Signal-Nachrichten, um hochentwickelte Malware in der Ukraine einzuschleusen. Die neuen Toolkits BEARDSHELL und COVENANT zeigen ausgeklügelte Techniken zur Umgehung von Erkennung und zum Aufbau dauerhafter Zugriffe. CERT-UA hat eine Warnung veröffentlicht, nachdem diese Bedrohung gegen staatliche Infrastrukturen erkannt wurde. Hier sind die wichtigsten Erkenntnisse über diese wachsende Kampagne und ihre potenziell gravierenden Folgen für öffentliche Einrichtungen.

BEARDSHELL: Eine Tarnung für Hintertüren

Laut CERT-UA handelt es sich bei BEARDSHELL um eine maßgeschneiderte Backdoor in C++. Die Hauptfunktionen:

  • Herunterladen und Ausführen von PowerShell-Skripten

  • Übertragung von Ergebnissen über die Icedrive-API

Die Malware wurde zwischen März und April 2024 bei einer Vorfallsanalyse entdeckt, zusammen mit SLIMAGENT – ein Tool zur Screenshot-Erfassung. Die Infektionsursache blieb zunächst unklar, bis ESET unautorisierten Zugriff auf ein ukrainisches Regierungskonto bestätigte («gov.ua»).

Signal-Angriffskette und das COVENANT-Framework

APT28 verschickt über Signal ein infiziertes Word-Dokument namens «Акт.doc», das Makros enthält, die zwei Dateien ablegen:

  • Eine DLL-Datei: «ctec.dll»

  • Ein PNG-Bild: «windows.png»

Die Makros manipulieren die Windows-Registry, um die DLL beim Öffnen des Datei-Explorers auszuführen. Diese lädt Shellcode aus dem PNG und startet COVENANT direkt im Arbeitsspeicher.

COVENANT lädt anschließend weitere Komponenten, die die BEARDSHELL-Backdoor aktivieren – für vollständigen Remote-Zugriff.

Angriff auf Webmail-Systeme und XSS-Lücken

APT28 zielt zusätzlich auf veraltete Webmails in der Ukraine: Roundcube, Horde, MDaemon und Zimbra. Mittels Phishing-Mails mit echten Nachrichteninhalten werden bekannte XSS-Lücken ausgenutzt:

  • CVE-2020-35730

  • CVE-2021-44026

  • CVE-2020-12641

Drei JavaScript-Dateien führen die Angriffe aus:

  • e.js: Leitet E-Mails um und stiehlt Kontakte und Cookies

  • q.js: Holt Roundcube-Datenbankinhalte per SQL Injection

  • c.js: Führt Befehle auf Mailservern aus

Über 40 ukrainische Organisationen erhielten diese Mails – ein klar koordinierter Angriff.

Empfehlungen zur Erkennung und Abwehr

CERT-UA rät zu folgenden Maßnahmen:

  • Netzwerkverkehr zu app.koofr[.]net und api.icedrive[.]net überwachen

  • Webmail-Systeme sofort patchen

  • Verwundbare Plugins entfernen

  • Makros deaktivieren

Warum das relevant ist

Dass Signal – eine für Privatsphäre bekannte App – in APT-Angriffen auftaucht, ist ein alarmierender Wandel. In Kombination mit Makros, legitimen Tools und gezieltem Phishing zeigt die Kampagne die Anpassungsfähigkeit staatlicher Angreifer.

ZENDATA unterstützt Unternehmen beim Schutz vor diesen Bedrohungen – durch Threat Intelligence, Phishing-Simulationen und Endpoint-Schutz.

Fazit

Die Operation von APT28 ist ein Lehrstück in mehrstufiger und versteckter Ausnutzung. Sie verdeutlicht die Notwendigkeit lückenloser Sichtbarkeit über Kommunikationswege, E-Mail-Systeme und Endpunkte hinweg. Wer sensible Informationen verwaltet oder in geopolitischen Brennpunkten agiert, sollte jetzt sein Bedrohungsmodell überprüfen.

Warten wir nicht auf ein Signal – im wahrsten Sinne – um den Einbruch zu bemerken.

Lesen Sie den vollständigen Artikel hier.

Bleiben Sie mit uns auf dem Laufenden!

Abonnieren Sie unseren monatlichen Cybersecurity-Newsletter, um aktuelle Informationen über uns und die Branche zu erhalten.

Blog

Hier finden Sie die neuesten Updates zu Cyber-Bedrohungen, Analysen und Veranstaltungen.

Allianz Life Data Breach

Allianz Life: Datenleck betrifft Großteil von 1,4 Mio. Kunden

  • Datenvorfall
Koske Malware Uses Panda Images to Infect Linux Systems

Koske-Malware infiziert Linux über Panda-Bilder

  • AI Cybersecurity
SharePoint Flaw Shows Microsoft’s Global Grip—and Its Security Gaps

Kritische SharePoint-Sicherheitslücke zeigt Microsofts Schwächen – Le Temps

  • Artikel, Technologie-Bruch

Mehr Beiträge

Sind Sie Opfer eines Hackerangriffs? Sind Sie von einem Datenleck betroffen? Rufen Sie uns an oder schreiben Sie uns.

+ 41 22 588 65 90 (24/7 Hotline)
emergency@zendata.security

Während wir Ihre Anfrage bearbeiten, können Sie einige Maßnahmen ergreifen, um Schlimmeres zu verhindern.

SELF-HELP GUIDE

Newsletter

Bleiben Sie auf dem Laufenden über die neuesten Bedrohungen, Ereignisse, Analysen und News rund um Cybersecurity! Abonnieren Sie unseren monatlichen Cybersicherheits-Newsletter.

Seit 2011 unterstützen wir Unternehmen, Regierungen und Bildungseinrichtungen. Wir arbeiten mit internationalen Organisationen und Strafverfolgungsbehörden zusammen, um Ihnen die schnellste und effizienteste Reaktion auf Bedrohungen zu bieten.

Standorte

Genf

Rte de Frontenex, 62Bis,

1207, Genf

Schweiz

022 588 65 90

Bahrain

Büro 1201,

Almoayyed TowerAI, Seef,

Bahrain

+973 6500 2035

Abu Dhabi

Büro 603, Centro Capital Center,

Abu Dhabi Exhibition Center,

Khaleej Al Arabi St, Abu Dhabi,

UAE

+9712 622 0580

 

Dubai

Gebäude Montana,

D84 Zaa’beel Street, Dubai,

UAE

800 0120009

Singapore

90 EU Tong Sen Street

#03-02B, Singapore, 059811

Singapore

+65 6035 8090

Legal

Privacy Policy

Cookie Policy

Data Processing Agreement

Refund Policy

Terms & Conditions

Social Media

Downloads

DEFCON: Switzerland

© Copyright ZENDATA CYBERSECURITY