APT28 nutzt Signal-Chat zur Verbreitung der BEARDSHELL-Malware

APT28 ist wieder aktiv. Diesmal setzt die russlandnahe Gruppe auf Signal-Nachrichten, um hochentwickelte Malware in der Ukraine einzuschleusen. Die neuen Toolkits BEARDSHELL und COVENANT zeigen ausgeklügelte Techniken zur Umgehung von Erkennung und zum Aufbau dauerhafter Zugriffe. CERT-UA hat eine Warnung veröffentlicht, nachdem diese Bedrohung gegen staatliche Infrastrukturen erkannt wurde. Hier sind die wichtigsten Erkenntnisse über diese wachsende Kampagne und ihre potenziell gravierenden Folgen für öffentliche Einrichtungen.

BEARDSHELL: Eine Tarnung für Hintertüren

Laut CERT-UA handelt es sich bei BEARDSHELL um eine maßgeschneiderte Backdoor in C++. Die Hauptfunktionen:

• Herunterladen und Ausführen von PowerShell-Skripten

• Übertragung von Ergebnissen über die Icedrive-API

Die Malware wurde zwischen März und April 2024 bei einer Vorfallsanalyse entdeckt, zusammen mit SLIMAGENT – ein Tool zur Screenshot-Erfassung. Die Infektionsursache blieb zunächst unklar, bis ESET unautorisierten Zugriff auf ein ukrainisches Regierungskonto bestätigte («gov.ua»).

Signal-Angriffskette und das COVENANT-Framework

APT28 verschickt über Signal ein infiziertes Word-Dokument namens «Акт.doc», das Makros enthält, die zwei Dateien ablegen:

• Eine DLL-Datei: «ctec.dll»

• Ein PNG-Bild: «windows.png»

Die Makros manipulieren die Windows-Registry, um die DLL beim Öffnen des Datei-Explorers auszuführen. Diese lädt Shellcode aus dem PNG und startet COVENANT direkt im Arbeitsspeicher.

COVENANT lädt anschließend weitere Komponenten, die die BEARDSHELL-Backdoor aktivieren – für vollständigen Remote-Zugriff.

Angriff auf Webmail-Systeme und XSS-Lücken

APT28 zielt zusätzlich auf veraltete Webmails in der Ukraine: Roundcube, Horde, MDaemon und Zimbra. Mittels Phishing-Mails mit echten Nachrichteninhalten werden bekannte XSS-Lücken ausgenutzt:

• CVE-2020-35730

• CVE-2021-44026

• CVE-2020-12641

Drei JavaScript-Dateien führen die Angriffe aus:

• e.js: Leitet E-Mails um und stiehlt Kontakte und Cookies

• q.js: Holt Roundcube-Datenbankinhalte per SQL Injection

• c.js: Führt Befehle auf Mailservern aus

Über 40 ukrainische Organisationen erhielten diese Mails – ein klar koordinierter Angriff.

Empfehlungen zur Erkennung und Abwehr

CERT-UA rät zu folgenden Maßnahmen:

• Netzwerkverkehr zu app.koofr[.]net und api.icedrive[.]net überwachen

• Webmail-Systeme sofort patchen

• Verwundbare Plugins entfernen

• Makros deaktivieren

Warum das relevant ist

Dass Signal – eine für Privatsphäre bekannte App – in APT-Angriffen auftaucht, ist ein alarmierender Wandel. In Kombination mit Makros, legitimen Tools und gezieltem Phishing zeigt die Kampagne die Anpassungsfähigkeit staatlicher Angreifer.

ZENDATA unterstützt Unternehmen beim Schutz vor diesen Bedrohungen – durch Threat Intelligence, Phishing-Simulationen und Endpoint-Schutz.

Fazit

Die Operation von APT28 ist ein Lehrstück in mehrstufiger und versteckter Ausnutzung. Sie verdeutlicht die Notwendigkeit lückenloser Sichtbarkeit über Kommunikationswege, E-Mail-Systeme und Endpunkte hinweg. Wer sensible Informationen verwaltet oder in geopolitischen Brennpunkten agiert, sollte jetzt sein Bedrohungsmodell überprüfen.

Warten wir nicht auf ein Signal – im wahrsten Sinne – um den Einbruch zu bemerken.

Lesen Sie den vollständigen Artikel hier.