Кибершпионаж APT28 против госструктур: детали атак с BEARDSHELL и COVENANT раскрыты CERT-UA

Первоначальное обнаружение угрозы произошло во время планового расследования киберинцидента в информационно-коммуникационной системе одного из ключевых государственных ведомств. Специалисты CERT-UA идентифицировали два основных вредоносных компонента, написанных на C++. Первый, BEARDSHELL, функционировал как адаптивный бэкдор, специализирующийся на загрузке, дешифровании и выполнении PowerShell-сценариев. Его уникальной особенностью стало использование API сервиса Icedrive для командного управления. Каждая зараженная машина получала индивидуальный каталог в облачном хранилище, имя которого генерировалось через хеш-функцию hash64_fnv1a на основе названия компьютера и его аппаратного GUID. Это позволяло злоумышленникам точно таргетировать конкретные системы при передаче инструкций. Второй инструмент, SLIMAGENT, был ориентирован на скрытный сбор конфиденциальных данных через периодическое создание снимков экрана. Используя системные функции графического интерфейса Windows, он захватывал изображения, шифровал их гибридным методом AES+RSA и сохранял во временной директории в формате, маскирующем файлы под легитимные элементы рабочего стола.

Несмотря на оперативное обнаружение, установить первоначальный вектор заражения в марте 2024 года не удалось. Ситуация прояснилась лишь в мае 2025 года, когда компания ESET предоставила данные о компрометации правительственного почтового ящика в домене gov.ua. Совместные действия CERT-UA и Центра кибернетической безопасности воинской части А0334 позволили реконструировать всю цепочку атаки. Как выяснилось, инцидент начался с фишинговой атаки через мессенджер Signal: злоумышленник, обладающий детальными знаниями о внутренних процессах ведомства, отправил документ "Акт.doc". Файл содержал вредоносный макрос, который при активации развертывал многоступенчатую инфраструктуру заражения. Первоначально создавались два файла – ctec.dll в каталоге Microsoft Protect и windows.png в локальном хранилище приложений. Ключевым элементом стала манипуляция с реестром Windows через создание ключа в разделе CLSID, что обеспечивало автоматическую загрузку вредоносной DLL при запуске проводника explorer.exe через технику COM-hijacking.

Основная роль ctec.dll заключалась в дешифровании и исполнении шелл-кода из файла windows.png, что инициировало в памяти системы компонент фреймворка COVENANT. Этот инструмент, маскирующийся под легитимный исполняемый файл, использовал API облачного сервиса для скрытного взаимодействия с командным центром. Анализ показал, что COVENANT затем загружал дополнительные модули: PlaySndSrv.dll в папке Packages и аудиофайл sample-03.wav в директории Music. Хитрость заключалась в использовании техники стеганографии – вредоносный код скрывался внутри звукового файла, а PlaySndSrv.dll выступал в роли загрузчика, извлекающего и активирующего этот код. Финальным этапом становился запуск бэкдора BEARDSHELL, чья персистентность обеспечивалась через создание еще одного реестрового ключа и планировщика задач, имитирующего системную службу мультимедиа.

Эксперты подчеркивают, что успех атаки обусловлен тремя факторами: недостаточной блокировкой макросов в документах, отсутствием контроля за передачей файлов через мессенджеры типа Signal, и злоупотреблением доверенными облачными сервисами. Использование платформ app.koofr.net и api.icedrive.net для командного управления позволяло трафику маскироваться под легитимную активность, обходя традиционные средства защиты. Группировка APT28, которую CERT-UA уверенно ассоциирует с данным инцидентом, давно известна таргетированными атаками на государственные структуры по всему миру. Их методы отражают растущий тренд на "живучесть" вредоносных инфраструктур – вместо создания собственных C2-серверов злоумышленники все чаще эксплуатируют публичные API, что значительно усложняет обнаружение. В качестве превентивных мер специалисты рекомендуют усилить политики ограничения макросов, внедрить мониторинг нестандартного взаимодействия с облачными хранилищами и проводить регулярный аудит COM-объектов в реестре. Данный случай служит тревожным напоминанием, что даже хорошо защищенные государственные системы уязвимы к атакам, комбинирующим техническую изощренность и глубокое понимание человеческого фактора.

MD5

• 2cae8dc37baf5216a3e7342aac755894
• 5171e84d59fd2bbef9235dfa6459ad8a
• 5d938b4316421a2caf7e2e0121b36459
• 889b83d375a0fb00670af5276816080e
• 8e0143a6fd791c859d79445768af44d1
• 915179579ab7dc358c41ea99e4fcab52
• 99f2fd309b88b8ec3a9c9c50dddb08b5
• b52c71318815836126f1257a180a74e7
• b6e3894c17fb05db754a61ac9a0e5925
• b859f38bfa8bba05d7c0eb4207b95037
• bd76f54d26bf00686da42f3664e3f2ae
• d802290cb9e5c3fed1ba1a8daf827882

SHA256

• 0a0fefb509a85c069539003c03c4f9c292d415fb27d18aef750446b63533b432
• 20987f7163c8fe466930ece075cd051273530dfcbe8893600fd21fcfb58b5b08
• 225b7abe861375141f6cfebde4981f615cb2aa4d913faf85172666fa4b4b320b
• 296b294a5fed830c2ff1fac9cb361a2d665b70f2f37188b593b5d1401cd6ca28
• 2eabe990f91bfc480c09db02a4de43116b40da2d6eaad00a034adf4214dac4d1
• 39c1f38d0bdc70e50588964ccf3e63dabb871dca83392305a0c64144c7860155
• 84e9eb9615f16316adac6c261fe427905bf1a3d36161e2e4f7658cd177a2c460
• 88e28107fbf171fdbcf4abbc0c731295549923e82ce19d5b6f6fefa3c9f497c9
• 9faeb1c8a4b9827f025a63c086d87c409a369825428634b2b01314460a332c6c
• be588c14f7ed3252e36c7db623c09cde8e01fa850c5431d9d621ac942695804d
• c49d4acad68955692c32d5fa924eb5bb3f95a192d2c70ff6b0b2ce63c6afe985
• d1deeaf0f1807720b11d0f235e3c134a1384054e4c3700eabab26b3a39d2c19a