APT28 внедряет вредоносные программы BEARDSHELL и COVENANT в затяжной кампании против украинских военных
Группа угроз APT28, связанная с российским государством, ведет долгосрочную операцию по наблюдению за персоналом украинских военных, используя набор сложных вредоносных имплантов. Согласно новому отчету ESET, с апреля 2024 года группа применяет два основных импланта: BEARDSHELL и COVENANT. APT28, также известная как Fancy Bear и Forest Blizzard, приписывается подразделению ГРУ. Эта кампания подчеркивает постоянный фокус группы на украинских целях, использующий развитые инструменты для сбора разведданных.
Арсенал вредоносных программ в этой кампании разнообразен. Помимо BEARDSHELL и COVENANT, злоумышленники использовали программу SLIMAGENT — мощный инструмент наблюдения, способный регистрировать нажатия клавиш, делать скриншоты и собирать данные из буфера обмена. SLIMAGENT был впервые задокументирован украинской CERT-UA в июне 2025 года. Анализ ESET показывает, что SLIMAGENT напрямую происходит от XAgent, известного импланта, ранее используемого APT28.
Технический анализ SLIMAGENT показывает продуманный дизайн для скрытности и функциональности. Вредоносная программа выводит собранные логи в формате HTML с distinctive цветовой схемой: синий для имени приложения, красный для нажатий клавиш и зеленый для активного окна. Это прямое наследие старого кейлоггера XAgent, что создает четкую forensic связь между старыми и новыми инструментами группы.
Развертывание SLIMAGENT обеспечивалось бэкдором BEARDSHELL, предназначенным для выполнения команд PowerShell на скомпрометированных системах. Это предоставляет злоумышленникам гибкий механизм командования и управления. Устойчивое использование этих инструментов, чьи корни уходят почти на десятилетие назад, демонстрирует приверженность APT28 модернизации своего кибершпионского арсенала.
Эксперты отмечают, что подобные кампании подчеркивают необходимость повышенных мер кибербезопасности для государственных и военных учреждений, особенно в условиях продолжающегося конфликта. Постоянная эволюция инструментария APT28 представляет собой значительную угрозу, требующую международного внимания и сотрудничества в сфере киберобороны.
