Depositphotos
Мессенджер Signal стал ареной атаки на украинские правительственные цели. За обычными файлами российские хакеры прячут новоые зловреды.
Государственная российская хакерская группа APT28 использует чаты Signal для атаки с помощью двух ранее недокументированных семейств вредоносных программ, BeardShell и SlimAgent. Сразу следует сказать, что это не проблема безопасности Signal. В основе метода — использование нового ПО и человеческого фактора.
Первые атаки обнаружила в марте 2024 года служба реагирования на компьютерные и чрезвычайные ситуации CERT-UA, хотя в то время информация была ограниченной. Более чем через год, в мае 2025 года, ESET сообщила CERT-UA о несанкционированном доступе к учетной записи электронной почты gov.ua, что повысило внимание к проблеме.
Во время нового расследования CERT-UA обнаружила, что сообщения в зашифрованном мессенджере Signal использовались для отправки вредоносного документа (Акт.doc) с макросами для загрузки резидентного бэкдора Covenant. Последний загружает вредоносное ПО в файле PlaySndSrv.dll и WAV-файл с шелл-кодом (sample-03.wav), который загружает BeardShell, ранее недокументированное ПО на C++. Загрузчики и основная вредоносная нагрузка защищены путём захвата COM-компонентов в реестре Windows.
Основная функциональность BeardShell заключается в загрузке скриптов PowerShell, их расшифровке с помощью «chacha20-poly1305» и выполнении. Результаты выполнения передаются на командно-контрольный (C2) сервер, связь с которым обеспечивается с помощью API Icedrive.
Во время атак 2024 года CERT-UA также обнаружил программу для захвата скриншотов SlimAgent, которая делает снимки экрана с помощью ряда функций Windows API (EnumDisplayMonitors, CreateCompatibleDC, CreateCompatibleBitmap, BitBlt, GdipSaveImageToStream). Эти изображения шифруются с помощью AES и RSA и сохраняются локально, вероятно, для извлечения отдельным инструментом. CERT-UA связывает эту активность (UAC-0001) с APT28. Эти российские хакеры имеют долгую историю атак Украины и ключевых учреждений США и Европы, преимущественно с целью кибершпионажа.
В 2025 году Signal оказался в центре кибератак, связанных с россией и Украиной. В определенный момент украинские чиновники выразили разочарование тем, что Signal якобы прекратил сотрудничество с ними в блокировании российских атак. Президент Signal Мередит Уиттакер заявила, что платформа никогда не передавала данные Украине или какому-либо другому правительству.
Источник: BleepingComputer, CERT-UA