Аналитики Sekoia раскрыли новую кампанию APT28 с использованием стеганографии в PNG-файлах

В начале 2025 года партнеры Sekoia.io предоставили два ранее неизвестных образца вредоносного программного обеспечения, атрибутированных APT28. Последующий анализ показал их полное соответствие образцам, описанным CERT-UA в отчете от 21 июня 2025 года, посвященном использованию фреймворков BeardShell и Covenant. Совместное исследование позволило выявить дополнительные документы Microsoft Office и методы работы, которые ранее не были публично задокументированы.

Целевыми объектами атаки стали украинские военные административные структуры. Злоумышленники использовали фишинговые документы, имитирующие служебные характеристики, акты передачи оборудования и другие документы, характерные для workflow воинских частей. Документы распространялись через приватные чаты Signal под видом сообщений от коллег или руководства, что создавало искусственное ощущение срочности и повышало вероятность успеха атаки.

Основным нововведением в данной кампании стало использование стеганографии для сокрытия вредоносной нагрузки в PNG-файлах (в частности, windows.png и koala.png). С помощью макросов в документах Word злоумышленники реализовали механизм подмены COM-объектов, что позволяло загружать вредоносную DLL-библиотеку prnfldr.dll. Данная библиотека, в свою очередь, расшифровывала и исполняла шеллкод, скрытый в наименее значимых битах пикселей изображения.

Загрузчик инициировал среду CLR для выполнения .NET-сборки, идентифицированной как HTTP Grunt Stager из фреймворка Covenant. Этот компонент использовал API облачного хранилища Koofr для организации командного канала. Аналитикам удалось получить доступ к учетным записям Koofr, связанным с кампанией, и изучить более 115 файлов, используемых для обмена данными между злоумышленниками и зараженными системами.

На последующих этапах атаки применялся бэкдор BeardShell, написанный на C++ и использующий облачный сервис icedrive в качестве канала управления. Он выполнял команды PowerShell, собирал системную информацию и обеспечивал долгосрочный доступ к системе. Дополнительно в рамках кампании был обнаружен шпионский модуль SlimAgent, ответственный за кейлоггинг и съём скриншотов.

По мнению аналитиков Sekoia.io, данная кампания демонстрирует рост технической оснащенности APT28 и её способность адаптировать открытые инструменты (такие как Covenant) в сочетании с легитимными облачными сервисами. Это позволяет группе оставаться незамеченной и эффективно обходить традиционные средства защиты.

Кампания остается активной, а её методы продолжают развиваться. В августе 2025 года наблюдалось использование аналогичной цепочки заражения через документы Excel в публичном облачном сервисе Filen.

Domains

• api.icedrive.net
• app.koofr.net
• egest.filen.io
• egest.filen.net
• egest.filen-1.net
• egest.filen-2.net
• egest.filen-3.net
• egest.filen-4.net
• egest.filen-5.net
• egest.filen-6.net
• gateway.filen.io
• gateway.filen.net
• gateway.filen-1.net
• gateway.filen-2.net
• gateway.filen-3.net
• gateway.filen-4.net
• gateway.filen-5.net
• gateway.filen-6.net
• ingest.filen.io
• ingest.filen.net
• ingest.filen-1.net
• ingest.filen-2.net
• ingest.filen-3.net
• ingest.filen-4.net
• ingest.filen-5.net
• ingest.filen-6.net

MD5

• 0fbc2bf2f66fc72c521a9b8561bab1da
• 1498f1df4ca0e9cf23babe00cf34ed3d
• 2338f420d66ef191c5a419353da2c12b
• 2632fa8fc67dd2fd5c5a6275465dcc95
• 2cd2bd837e2a2554c9c34a1564388e0b
• 3b4ea6079ac9f154e0d4ec2cb6d05431
• 50199e69c6a23ce935267be72372de0a
• 5ddc34c5a9a2a1dc97c79d8777d54f14
• 608877a9e11101da53bce99b0effc75b
• 66007a1ca6d07ebb4ed85bf82e79719d
• 72c90b34fc75b251df525258c543be11
• 766a89de96c50df2e33b42f05218c22e
• 7de7febec6bed06c49efb4e2c3dd23e1
• 81159738f7ffb50d5bc3c75e5e0ac546
• 8169a4e2e826d82b57cc98bc71ea6d7e
• 82bb741aa37df26772188643bd7b3c84
• 889b83d375a0fb00670af5276816080e
• 8cb79686725831395879227658c0dd5f
• 8edc3c4868f2ef688c5250119c8aa6bb
• 8f916b6661e013ffbf318ed78e24a7c2
• 915179579ab7dc358c41ea99e4fcab52
• b52c71318815836126f1257a180a74e7
• b6e3894c17fb05db754a61ac9a0e5925
• bbfb92161cb71825a16e49e2aa4d2750
• bd76f54d26bf00686da42f3664e3f2ae
• bef42c5c079fe43c8353b24c607d9e4d
• C60991effda994e4168ec2a63406cd6a
• d802290cb9e5c3fed1ba1a8daf827882
• f21b63ddd7d2a773eb21a065015cdd01
• f442db1753a7475842607307a439870e