APT28利用Signal聊天传播BEARDSHELL和COVENANT恶意软件的分析

近期，乌克兰计算机应急响应小组（CERT-UA）发布了警告，指出与俄罗斯有关的APT28（又称UAC-0001）威胁组织正在利用Signal聊天应用程序进行新一轮的网络攻击。这些攻击涉及两种新型恶意软件：BEARDSHELL和COVENANT。本文将详细探讨这两种恶意软件的工作原理和防范措施，并分析APT28的攻击手法。

BEARDSHELL和COVENANT的背景

BEARDSHELL是一种用C++编写的恶意软件，具备强大的功能，包括下载和执行PowerShell脚本，以及上传执行结果。PowerShell是一种强大的命令行工具，广泛用于Windows系统的管理和自动化。攻击者利用其灵活性和强大功能，能够在受害者的计算机上执行各种恶意操作。

COVENANT则是一个更为复杂的恶意软件框架，通常用于建立持久的后门连接，允许攻击者远程控制受感染的系统。它的存在表明APT28不仅仅是进行一次性攻击，而是试图在网络中建立长期的控制权。

恶意软件的传播方式

APT28选择通过Signal这样的消息应用程序传播恶意软件，这一策略具有高度隐蔽性。Signal以其端到端加密著称，攻击者利用这一点来隐藏恶意代码，避免被传统的安全检测工具发现。通过发送带有恶意链接或文件的聊天消息，攻击者能够诱骗用户点击，从而下载和执行恶意软件。

在下载后，BEARDSHELL可以直接在受害者的系统上执行PowerShell脚本，进行更深层次的攻击。这包括数据窃取、系统控制和进一步的网络渗透。COVENANT则可能在后台持续运行，监控并控制受感染的设备，为攻击者提供持久的访问权限。

防范措施

为了防止这类攻击，用户和组织可以采取以下几项措施：

1. 增强安全意识：用户应警惕来自陌生人或不明来源的链接和文件，避免随意点击。

2. 更新安全软件：确保所有设备上的安全软件和防火墙保持最新，能够及时识别和阻止恶意软件。

3. 限制PowerShell的使用：对于不需要使用PowerShell的用户，可以通过组策略禁用其执行，减少被恶意软件利用的风险。

4. 网络监控：企业应加强对网络流量的监控，及时发现异常活动，尤其是来自内部的可疑操作。

其他相关技术点

除了BEARDSHELL和COVENANT，网络攻击者还常用其他恶意软件工具，如：

• Emotet：一种模块化恶意软件，通常用于传播其他恶意软件。
• TrickBot：一种银行木马，能够窃取用户的银行凭证和个人信息。
• Cobalt Strike：一个合法的渗透测试工具，但常被黑客用于进行后门攻击和控制。

这些工具和BEARDSHELL、COVENANT在攻击手法上有相似之处，都是通过后门和远程控制实现对受害者系统的控制。

结论

APT28利用Signal传播BEARDSHELL和COVENANT的案例突显了现代网络攻击的隐蔽性和复杂性。了解这些恶意软件的工作原理及其传播方式，有助于用户和组织采取有效的防范措施，保护自身的网络安全。在日益复杂的网络环境中，增强安全意识和技术防护是抵御网络攻击的关键。