HackerNews 编译,转载请注明出处:
俄罗斯国家支持的黑客组织APT28正利用Signal聊天软件针对乌克兰政府目标发起攻击,部署两种此前未公开的恶意软件家族BeardShell和SlimAgent。需明确的是,这并非Signal自身的安全漏洞,而是因全球政府广泛使用该平台,攻击者将其作为钓鱼攻击的新渠道。
乌克兰计算机应急响应小组(CERT-UA)最早于2024年3月发现此类攻击,但当时未能完全揭示感染途径细节。2025年5月,ESET向CERT-UA通报某gov.ua政府邮箱账户遭未授权访问,触发新一轮事件响应。调查发现,攻击者通过Signal发送恶意文档(Акт.doc),该文档利用宏功能加载名为Covenant的内存驻留后门。
Covenant作为恶意软件加载器,会下载DLL文件(PlaySndSrv.dll)和携带shellcode的WAV音频(sample-03.wav),进而加载用C++编写的BeardShell恶意软件。攻击者通过劫持Windows注册表的COM组件实现持久化控制。BeardShell的核心功能包括:
- 下载PowerShell脚本使用chacha20-poly1305算法解密脚本执行脚本并将结果回传至命令控制(C2)服务器(通过Icedrive API实现通信)
在2024年的攻击中还发现名为SlimAgent的屏幕截图工具,该工具调用Windows API(包括EnumDisplayMonitors、CreateCompatibleDC等)截取屏幕,使用AES和RSA加密图像后暂存本地,疑似等待其他载荷将其回传至APT28服务器。
CERT-UA将此活动归因于APT28(内部追踪代号UAC-0001),建议潜在目标监控与app.koofr.net、api.icedrive.net的网络交互。该组织长期针对乌克兰及欧美关键机构实施网络间谍活动,具有高度技术能力——2024年11月Volexity曾曝光其利用“最近邻”技术通过附近Wi-Fi网络实施远程入侵。
2025年Signal频成俄乌网络战焦点:攻击者滥用“设备关联”功能劫持账户,利用该平台分发Dark Crystal RAT等恶意软件。
乌克兰政府曾表示失望,称Signal未配合阻断俄罗斯攻击行动。但Signal总裁梅雷迪思·惠特克回应称,平台从未向乌克兰或其他政府提供用户通信数据。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
