Οι hackers APT28 χρησιμοποιούν το Signal για διανομή malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers APT28 χρησιμοποιούν το Signal για διανομή malware
https://www.secnews.gr/651838/hackers-apt28-xrisimopoioun-signal-gia-dianomi-malware/
Jun 24th 2025, 11:49
by Digital Fortress
Η διαβόητη ρωσική κρατική ομάδα APT28, γνωστή και ως Fancy Bear, έχει ξεκινήσει μια νέα εκστρατεία κατασκοπείας κατά ουκρανικών κυβερνητικών στόχων, αξιοποιώντας την εφαρμογή ανταλλαγής μηνυμάτων Signal ως εργαλείο παράδοσης κακόβουλου λογισμικού. Οι επιθέσεις συνοδεύονται από δύο άγνωστες μέχρι πρότινος οικογένειες malware με τις ονομασίες BeardShell και SlimAgent.
Σημειώνεται πως το ίδιο το Signal δεν παρουσιάζει κάποιο κενό ασφαλείας· η πλατφόρμα απλώς χρησιμοποιείται στα πλαίσια phishing επιθέσεων, λόγω της ευρείας υιοθέτησής της από κυβερνητικά στελέχη και φορείς παγκοσμίως.
Η πρώτη ένδειξη αυτής της επιχείρησης εντοπίστηκε από το CERT-UA, την ουκρανική Υπηρεσία Αντιμετώπισης Κυβερνοαπειλών, τον Μάρτιο του 2024. Ωστόσο, οι λεπτομέρειες τότε ήταν περιορισμένες και ο αρχικός τρόπος μόλυνσης δεν είχε αποσαφηνιστεί.
Δείτε επίσης: Signal Windows: Απαγορεύεται η λήψη screenshots από το Recall
Η υπόθεση αναθερμάνθηκε τον Μάιο του 2025, όταν η ESET εντόπισε παραβίαση σε κυβερνητικό email (.gov.ua), γεγονός που οδήγησε σε νέα έρευνα και αποκαλύψεις.
Κατά τη διάρκεια αυτής της έρευνας, διαπιστώθηκε ότι κακόβουλα έγγραφα (Акт.doc) αποστέλλονταν μέσω του Signal, με στόχο την εκτέλεση μακροεντολών για την εγκατάσταση ενός memory-resident backdoor με την ονομασία Covenant. Αυτό στη συνέχεια λειτουργούσε ως "φορτωτής" (loader) πρόσθετου κακόβουλου λογισμικού.
Το Covenant κατέβαζε ένα αρχείο DLL (PlaySndSrv.dll) και ένα shellcode-ridden WAV file (sample-03.wav) που φόρτωναν το BeardShell, ένα προηγουμένως άγνωστο κακόβουλο εργαλείο γραμμένο σε C++.
Τόσο το αρχικό πρόγραμμα φόρτωσης όσο και το κύριο payload επιβίωναν στο σύστημα μέσω COM-hijacking – μιας τεχνικής κατάχρησης του Windows Registry για μόνιμη εγκατάσταση.
Το BeardShell έχει ως βασική λειτουργία την λήψη και εκτέλεση PowerShell scripts, τα οποία πρώτα αποκρυπτογραφούνται με τον αλγόριθμο ChaCha20-Poly1305. Στη συνέχεια, τα αποτελέσματα στέλνονται πίσω στον C2 server (Command & Control), με την επικοινωνία να διευκολύνεται από την υπηρεσία Icedrive API.
Το ουκρανικό CERT-UA αποκάλυψε πως στις κυβερνοεπιθέσεις του 2024, η ρωσική κρατική ομάδα APT28 αξιοποίησε και ένα εργαλείο με την ονομασία SlimAgent, σχεδιασμένο για τη συλλογή στιγμιότυπων οθόνης από στοχευμένα συστήματα. Το κακόβουλο λογισμικό χρησιμοποιεί Windows API functions (EnumDisplayMonitors, CreateCompatibleDC, BitBlt, και GdipSaveImageToStream). Οι εικόνες αυτές κρυπτογραφούνται (με AES και RSA) και αποθηκεύονται τοπικά και στη συνέχεια αποστέλλονται σε διακομιστές ελέγχου (C2), μέσω άλλων κακόβουλων payload.
Δείτε επίσης: Signal phishing επιθέσεις στοχεύουν τον στρατό της Ουκρανίας
Η CERT-UA ταυτοποίησε την καμπάνια ως μέρος των επιχειρήσεων της ομάδας APT28 και προειδοποιεί τους οργανισμούς να επιτηρούν δικτυακές αλληλεπιδράσεις με τις υπηρεσίες app.koofr.net και api.icedrive.net.
Οι Ρώσοι hackers APT28 έχουν μακρά ιστορία κατασκοπευτικής δράσης κατά κυβερνητικών και στρατηγικών στόχων στην Ουκρανία, τις ΗΠΑ και την Ευρώπη. Τον Νοέμβριο του 2024, ερευνητές της Volexity αποκάλυψαν ότι η ομάδα αξιοποιεί μια προηγμένη τεχνική απομακρυσμένης πρόσβασης, παραβιάζοντας συσκευές μέσω γειτονικών Wi-Fi δικτύων (τεχνική "nearest neighbor").
Χρήση Signal για κυβερνοεπιθέσεις
Το 2025, το Signal αναδείχθηκε απροσδόκητα σε κρίσιμο εργαλείο στις επιχειρήσεις κυβερνοκατασκοπείας, με επιθέσεις spear-phishing να καταχρώνται τη λειτουργία σύνδεσης συσκευών της εφαρμογής για παράνομη πρόσβαση σε λογαριασμούς χρηστών.
Επιπλέον, το Signal αποτέλεσε και δίαυλο για τη διανομή του Dark Crystal RAT, ενός επικίνδυνου remote access trojan που στοχεύει στρατηγικά πρόσωπα και φορείς εντός της Ουκρανίας.
Το ότι γίνεται κατάχρηση ενός δημοφιλούς εργαλείου ασφαλούς επικοινωνίας όπως το Signal δείχνει την τάση των επιτιθέμενων να χρησιμοποιούν "νόμιμες" πλατφόρμες ως φορείς επίθεσης, κάτι που καθιστά την ανίχνευση και την άμυνα πολύ πιο δύσκολη.
Κυβερνητικοί αξιωματούχοι της Ουκρανίας έχουν εκφράσει δημόσια τη δυσαρέσκειά τους για την έλλειψη συνεργασίας από πλευράς Signal, υποστηρίζοντας πως η εταιρεία δεν ανταποκρίθηκε επαρκώς στις εκκλήσεις για στήριξη απέναντι στις ρωσικές κυβερνοεπιθέσεις. Η πρόεδρος της Signal, Meredith Whittaker, απάντησε σε αυτές τις δηλώσεις, ξεκαθαρίζοντας πως η εταιρεία ποτέ δεν παρέδωσε ή μοιράστηκε μεταδεδομένα ή περιεχόμενο επικοινωνίας με καμία κυβέρνηση, συμπεριλαμβανομένης της Ουκρανίας.
Δείτε επίσης: Ρώσοι χάκερ παρακάμπτουν το Gmail MFA
Όσον αφορά στις πιο πρόσφατες επιθέσεις, η χρονική στιγμή – εν μέσω ρωσο-ουκρανικής έντασης και παγκόσμιας ψηφιακής αναταραχής – δεν είναι τυχαία. Βλέπουμε για ακόμη μία φορά την κυβερνοασφάλεια να γίνεται προέκταση γεωπολιτικής σύγκρουσης, με τις ψηφιακές υποδομές να είναι πλέον πρώτης γραμμής στόχοι.
Προτάσεις Αντιμετώπισης
• Ενίσχυση του Threat Hunting: Οι οργανισμοί πρέπει να αναπτύξουν ενεργές στρατηγικές εντοπισμού APT δραστηριότητας.
• Monitoring των API endpoints: Όπως πρότεινε και το CERT-UA, η επιτήρηση κρίσιμων πλατφορμών μπορεί να λειτουργήσει προειδοποιητικά.
• Ανάλυση συμπεριφοράς χρηστών και συστημάτων (UEBA): Οι ομάδες APT χτυπούν από μέσα, μετά από αρχική πρόσβαση. Η κανονική συμπεριφορά πρέπει να είναι γνωστή και αποκλίσεις να σηματοδοτούν συναγερμό.
• Καμπάνιες ευαισθητοποίησης: Οι επιθέσεις ξεκινούν πολλές φορές από phishing ή spear-phishing. Εκπαίδευση χρηστών = πρώτο τείχος άμυνας.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers APT28 χρησιμοποιούν το Signal για διανομή malware
https://www.secnews.gr/651838/hackers-apt28-xrisimopoioun-signal-gia-dianomi-malware/
Jun 24th 2025, 11:49
by Digital Fortress
Η διαβόητη ρωσική κρατική ομάδα APT28, γνωστή και ως Fancy Bear, έχει ξεκινήσει μια νέα εκστρατεία κατασκοπείας κατά ουκρανικών κυβερνητικών στόχων, αξιοποιώντας την εφαρμογή ανταλλαγής μηνυμάτων Signal ως εργαλείο παράδοσης κακόβουλου λογισμικού. Οι επιθέσεις συνοδεύονται από δύο άγνωστες μέχρι πρότινος οικογένειες malware με τις ονομασίες BeardShell και SlimAgent.
Σημειώνεται πως το ίδιο το Signal δεν παρουσιάζει κάποιο κενό ασφαλείας· η πλατφόρμα απλώς χρησιμοποιείται στα πλαίσια phishing επιθέσεων, λόγω της ευρείας υιοθέτησής της από κυβερνητικά στελέχη και φορείς παγκοσμίως.
Η πρώτη ένδειξη αυτής της επιχείρησης εντοπίστηκε από το CERT-UA, την ουκρανική Υπηρεσία Αντιμετώπισης Κυβερνοαπειλών, τον Μάρτιο του 2024. Ωστόσο, οι λεπτομέρειες τότε ήταν περιορισμένες και ο αρχικός τρόπος μόλυνσης δεν είχε αποσαφηνιστεί.
Δείτε επίσης: Signal Windows: Απαγορεύεται η λήψη screenshots από το Recall
Η υπόθεση αναθερμάνθηκε τον Μάιο του 2025, όταν η ESET εντόπισε παραβίαση σε κυβερνητικό email (.gov.ua), γεγονός που οδήγησε σε νέα έρευνα και αποκαλύψεις.
Κατά τη διάρκεια αυτής της έρευνας, διαπιστώθηκε ότι κακόβουλα έγγραφα (Акт.doc) αποστέλλονταν μέσω του Signal, με στόχο την εκτέλεση μακροεντολών για την εγκατάσταση ενός memory-resident backdoor με την ονομασία Covenant. Αυτό στη συνέχεια λειτουργούσε ως "φορτωτής" (loader) πρόσθετου κακόβουλου λογισμικού.
Το Covenant κατέβαζε ένα αρχείο DLL (PlaySndSrv.dll) και ένα shellcode-ridden WAV file (sample-03.wav) που φόρτωναν το BeardShell, ένα προηγουμένως άγνωστο κακόβουλο εργαλείο γραμμένο σε C++.
Τόσο το αρχικό πρόγραμμα φόρτωσης όσο και το κύριο payload επιβίωναν στο σύστημα μέσω COM-hijacking – μιας τεχνικής κατάχρησης του Windows Registry για μόνιμη εγκατάσταση.
Το BeardShell έχει ως βασική λειτουργία την λήψη και εκτέλεση PowerShell scripts, τα οποία πρώτα αποκρυπτογραφούνται με τον αλγόριθμο ChaCha20-Poly1305. Στη συνέχεια, τα αποτελέσματα στέλνονται πίσω στον C2 server (Command & Control), με την επικοινωνία να διευκολύνεται από την υπηρεσία Icedrive API.
Το ουκρανικό CERT-UA αποκάλυψε πως στις κυβερνοεπιθέσεις του 2024, η ρωσική κρατική ομάδα APT28 αξιοποίησε και ένα εργαλείο με την ονομασία SlimAgent, σχεδιασμένο για τη συλλογή στιγμιότυπων οθόνης από στοχευμένα συστήματα. Το κακόβουλο λογισμικό χρησιμοποιεί Windows API functions (EnumDisplayMonitors, CreateCompatibleDC, BitBlt, και GdipSaveImageToStream). Οι εικόνες αυτές κρυπτογραφούνται (με AES και RSA) και αποθηκεύονται τοπικά και στη συνέχεια αποστέλλονται σε διακομιστές ελέγχου (C2), μέσω άλλων κακόβουλων payload.
Δείτε επίσης: Signal phishing επιθέσεις στοχεύουν τον στρατό της Ουκρανίας
Η CERT-UA ταυτοποίησε την καμπάνια ως μέρος των επιχειρήσεων της ομάδας APT28 και προειδοποιεί τους οργανισμούς να επιτηρούν δικτυακές αλληλεπιδράσεις με τις υπηρεσίες app.koofr.net και api.icedrive.net.
Οι Ρώσοι hackers APT28 έχουν μακρά ιστορία κατασκοπευτικής δράσης κατά κυβερνητικών και στρατηγικών στόχων στην Ουκρανία, τις ΗΠΑ και την Ευρώπη. Τον Νοέμβριο του 2024, ερευνητές της Volexity αποκάλυψαν ότι η ομάδα αξιοποιεί μια προηγμένη τεχνική απομακρυσμένης πρόσβασης, παραβιάζοντας συσκευές μέσω γειτονικών Wi-Fi δικτύων (τεχνική "nearest neighbor").
Χρήση Signal για κυβερνοεπιθέσεις
Το 2025, το Signal αναδείχθηκε απροσδόκητα σε κρίσιμο εργαλείο στις επιχειρήσεις κυβερνοκατασκοπείας, με επιθέσεις spear-phishing να καταχρώνται τη λειτουργία σύνδεσης συσκευών της εφαρμογής για παράνομη πρόσβαση σε λογαριασμούς χρηστών.
Επιπλέον, το Signal αποτέλεσε και δίαυλο για τη διανομή του Dark Crystal RAT, ενός επικίνδυνου remote access trojan που στοχεύει στρατηγικά πρόσωπα και φορείς εντός της Ουκρανίας.
Το ότι γίνεται κατάχρηση ενός δημοφιλούς εργαλείου ασφαλούς επικοινωνίας όπως το Signal δείχνει την τάση των επιτιθέμενων να χρησιμοποιούν "νόμιμες" πλατφόρμες ως φορείς επίθεσης, κάτι που καθιστά την ανίχνευση και την άμυνα πολύ πιο δύσκολη.
Κυβερνητικοί αξιωματούχοι της Ουκρανίας έχουν εκφράσει δημόσια τη δυσαρέσκειά τους για την έλλειψη συνεργασίας από πλευράς Signal, υποστηρίζοντας πως η εταιρεία δεν ανταποκρίθηκε επαρκώς στις εκκλήσεις για στήριξη απέναντι στις ρωσικές κυβερνοεπιθέσεις. Η πρόεδρος της Signal, Meredith Whittaker, απάντησε σε αυτές τις δηλώσεις, ξεκαθαρίζοντας πως η εταιρεία ποτέ δεν παρέδωσε ή μοιράστηκε μεταδεδομένα ή περιεχόμενο επικοινωνίας με καμία κυβέρνηση, συμπεριλαμβανομένης της Ουκρανίας.
Δείτε επίσης: Ρώσοι χάκερ παρακάμπτουν το Gmail MFA
Όσον αφορά στις πιο πρόσφατες επιθέσεις, η χρονική στιγμή – εν μέσω ρωσο-ουκρανικής έντασης και παγκόσμιας ψηφιακής αναταραχής – δεν είναι τυχαία. Βλέπουμε για ακόμη μία φορά την κυβερνοασφάλεια να γίνεται προέκταση γεωπολιτικής σύγκρουσης, με τις ψηφιακές υποδομές να είναι πλέον πρώτης γραμμής στόχοι.
Προτάσεις Αντιμετώπισης
• Ενίσχυση του Threat Hunting: Οι οργανισμοί πρέπει να αναπτύξουν ενεργές στρατηγικές εντοπισμού APT δραστηριότητας.
• Monitoring των API endpoints: Όπως πρότεινε και το CERT-UA, η επιτήρηση κρίσιμων πλατφορμών μπορεί να λειτουργήσει προειδοποιητικά.
• Ανάλυση συμπεριφοράς χρηστών και συστημάτων (UEBA): Οι ομάδες APT χτυπούν από μέσα, μετά από αρχική πρόσβαση. Η κανονική συμπεριφορά πρέπει να είναι γνωστή και αποκλίσεις να σηματοδοτούν συναγερμό.
• Καμπάνιες ευαισθητοποίησης: Οι επιθέσεις ξεκινούν πολλές φορές από phishing ή spear-phishing. Εκπαίδευση χρηστών = πρώτο τείχος άμυνας.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz