Группа APT28 применила новые вредоносные программы BEARDSHELL и COVENANT в кибершпионской кампании против ВСУ
Государственная хакерская группа APT28, также известная как Fancy Bear или Forest Blizzard, ведет сложную кибершпионскую кампанию против военных Украины. Согласно анализу Threat Analysis Group (TAG) компании Google, в этой операции группа использует два основных семейства вредоносного ПО: ранее не документированный бэкдор BEARDSHELL и известный фреймворк управления Covenant. Эта кампания подчеркивает продолжающееся цифровое противостояние, где кибероперации служат для сбора тактической разведки и сохранения доступа к критическим сетям.
Вредоносная программа BEARDSHELL представляет собой значительную эволюцию в арсенале APT28. Это легкий, безфайловый бэкдор, созданный для скрытности и устойчивости. Внедрившись в систему, он устанавливает связь с операторами, используя жестко заданный командный сервер. Его возможности обширны: выполнение команд, передача файлов и разведка системы. Для уклонения от обнаружения программа использует методы обфускации и легитимные инструменты Windows, что затрудняет ее выявление традиционными антивирусами.
Наряду с BEARDSHELL, злоумышленники развертывают фреймворк Covenant. Это открытая .NET-платформа для управления компрометированными системами. Ее использование государственной группой отражает тренд на применение публичных хакерских инструментов для снижения затрат и ускорения атак. Covenant предоставляет веб-интерфейс для управления жертвами и кражи данных, что указывает на приоритет оперативной гибкости в длительных кампаниях APT28.
Исходным вектором атаки являются целевые фишинговые письма с вредоносными вложениями. Эти письма маскируются под официальную переписку, чтобы обмануть военнослужащих и заставить их запустить макросы или скрытые полезные нагрузки. Конечная цель кампании — сбор разведывательных данных о военных операциях и инфраструктуре Украины.
Эксперты по кибербезопасности отмечают, что сочетание собственного сложного бэкдора и публичного фреймворка делает эту кампанию особенно опасной. Она демонстрирует адаптивность и изощренность группы APT28, которая продолжает совершенствовать свои методы в условиях продолжающегося конфликта.
Данная операция служит серьезным напоминанием об устойчивой цифровой угрозе со стороны государственных хакерских групп. Защита критически важных сетей требует постоянной бдительности, расширенного мониторинга угроз и обучения персонала противодействию фишингу.
