Месенджер Signal став ареною атаки на українські урядові цілі. За звичайними файлами російські хакери ховають нове шкідливе ПЗ.

Державна російська хакерська група APT28 використовує чати Signal для атаки за допомогою двох раніше недокументованих сімейств шкідливих програм, BeardShell та SlimAgent. Одразу слід сказати, що це не проблема безпеки Signal. В основі методу — використання нового ПЗ та людського фактора.

Перші атаки виявила у березні 2024 року служба реагування на комп’ютерні та надзвичайні ситуації CERT-UA, хоча на той час інформація була обмеженою. Більше ніж через рік, у травні 2025 року, ESET повідомила CERT-UA про несанкціонований доступ до облікового запису електронної пошти gov.ua, що підвищило увагу до проблеми.

Під час нового розслідування CERT-UA виявила, що повідомлення у зашифрованому месенджері Signal використовувалися для надсилання шкідливого документа (Акт.doc) з макросами для завантаження резидентного бекдора Covenant. Останній завантажує шкідливе ПЗ у файлі PlaySndSrv.dll та WAV-файл із шелл-кодом (sample-03.wav), який завантажує BeardShell, раніше недокументоване ПЗ на C++. Завантажувачі та основне зловмисне навантаження захищені шляхом захоплення COM-компонентів у реєстрі Windows.

Основна функціональність BeardShell полягає в завантаженні скриптів PowerShell, їх розшифровці за допомогою «chacha20-poly1305» та виконанні. Результати виконання передаються на командно-контрольний (C2) сервер, зв’язок з яким забезпечується за допомогою API Icedrive.

Під час атак 2024 року CERT-UA також виявив програму для захоплення скриншотів SlimAgent, яка робить знімки екрана за допомогою низки функцій Windows API (EnumDisplayMonitors, CreateCompatibleDC, CreateCompatibleBitmap, BitBlt, GdipSaveImageToStream). Ці зображення шифруються за допомогою AES та RSA та зберігаються локально, ймовірно, для вилучення окремим інструментом. CERT-UA пов’язує цю активність (UAC-0001) з APT28. Цы російські хакери мають довгу історію атак України та ключових установ США і Європи, переважно з метою кібершпигунства.

У 2025 році Signal опинився в центрі кібератак, пов’язаних з росією та Україною. У певний момент українські урядовці висловили розчарування тим, що Signal нібито припинив співпрацю з ними у блокуванні російських атак. Президент Signal Мередіт Віттакер заявила, що платформа ніколи не передавала дані Україні та жодному іншому уряду.

Джерело: BleepingComputer, CERT-UA