APT28 внедряет кастомный вариант Covenant в шпионской кампании против Украины
Российская государственная хакерская группа APT28, также известная как Fancy Bear и Forest Blizzard, была замечена в использовании модифицированной версии открытого фреймворка Covenant в рамках долгосрочной шпионской кампании. Согласно новому отчёту компании ESET, с апреля 2024 года группа применяет стратегию с двумя имплантами — «BeardShell» и кастомным Covenant — для целевого наблюдения, в первую очередь за украинским военным персоналом.
Техническое исполнение атаки демонстрирует высокий уровень операционной безопасности. Злоумышленники использовали уязвимость CVE-2026-21509 в Microsoft Office через вредоносные DOC-файлы для первоначального взлома центральных органов исполнительной власти Украины. После этого активировалась двухкомпонентная схема.
Имплант BeardShell отличается тем, что для скрытного взаимодействия с командным сервером использует легитимный облачный сервис Icedrive, маскируя вредоносный трафик под обычную интернет-активность. Параллельно кастомизированный фреймворк Covenant предоставляет злоумышленникам расширенный набор инструментов для сохранения доступа, перемещения по сети и хищения данных.
Эта активность была раскрыта исследователями ESET после обнаружения в украинской госсистеме другого импланта — «SlimAgent», выполнявшего функции кейлоггера. Взаимосвязь инструментов указывает на скоординированную многоэтапную операцию по сбору разведданных.
Использование открытого инструментария Covenant, доступного на GitHub, подчёркивает тренд среди APT-групп на адаптацию легитимных средств безопасности. Это сокращает время на разработку вредоносного ПО и потенциально позволяет обходить защитные решения.
Широкий ландшафт кибербезопасности продолжает сталкиваться с серьёзными угрозами со стороны государственных хакеров. Параллельно Microsoft предупреждает о растущем использовании злоумышленниками искусственного интеллекта для повышения эффективности и скрытности атак.
