APT28 здійснює атаки на урядові структури, використовуючи методи надсилання документів через Signal.

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нові кібератаки на держоргани. Для ураження систем зловмисники використовують багатоетапний ланцюжок, який починається з надсилання шкідливих документів через Signal.

Програма була створена з використанням мови C++. Її основна функція полягає у створенні знімків екрану, що реалізується через механізми EnumDisplayMonitors, CreateCompatibleDC, CreateCompatibleBitmap і BitBlt, а також GdipSaveImageToStream для збереження зображень. Додатково, програма забезпечує шифрування цих знімків за допомогою алгоритмів AES і RSA, після чого вони зберігаються на локальному комп'ютері у форматі: %TEMP%\Desktop_%d-%m-%Y_%H-%M-%S.svc.

На момент проведення дослідження не вдалося з'ясувати, як саме відбулася первісна компрометація сервера, включаючи методи доставки шкідливих програм. Виявлені файли були передані для подальшого аналізу обмеженій групі виробників засобів кібербезпеки та фахівцям у сфері дослідження кіберзагроз.

У травні 2025 року компанія ESET надала термінову інформацію про виявлення можливих ознак несанкціонованого доступу до електронної пошти в доменній зоні gov.ua.

З метою запобігання реалізації кіберзагрози, CERT-UA у взаємодії з Центром кібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 вжито заходів з реагування на кіберінцидент.

В результаті проведення комп'ютерно-технічного дослідження виявлено програмні засоби - компонент фреймоворку COVENANT та бекдор BEARDSHELL, а також з'ясовано спосіб первинного ураження. На цей раз невстановленою особою за допомогою Signal надіслано документ з назвою "Акт.doc", що містив макрос. При цьому, що очевидно з переписки, зловмисник мав достатньо інформації щодо об'єкту атаки та володів деталями стану справ в частині, що стосується.

У випадку активації вмісту документу код макросу забезпечить створення на ЕОМ двох файлів: %APPDATA%\microsoft\protect\ctec.dll (буде скопійовано з %TEMP%\cache_d3qf5gw56jikh5tb6) та %LOCALAPPDATA%\windows.png, а також, створення ключа в реєстрі операційної системи: "HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32" (COM-hijacking), що, у свою чергу, забезпечить завантаження створеної DLL при наступному запуску процесу explorer.exe (процес також завершується та запускається кодом макросу).

Головною функцією файлу "ctec.dll" є дешифрування та виконання шеллкоду з файлу "windows.png". Це, в свою чергу, активує в оперативній пам'яті комп'ютера компонент фреймворку COVENANT ("ksmqsyck.dx4.exe"), який використовує API сервісу Koofr як канал для управління.

Згідно з даними комп'ютерно-технічного аналізу, є підстави вважати, що для завантаження на комп'ютер виконуваного файлу "%LOCALAPPDATA%\Packages\PlaySndSrv.dll" та аудіофайлу "%USERPROFILE%\Music\Samples\sample-03.wav" використовувалася програма COVENANT. Врешті-решт, "PlaySndSrv.dll" виконає зчитування "sample-03.wav" і активує шелкод, що, в свою чергу, призведе до інсталяції бекдору BEARDSHELL на комп'ютері. Важливо відзначити, що постійність "PlaySndSrv.dll" забезпечується створенням ключа в реєстрі за адресою "HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32" (в рамках COM-hijacking), що активуватиме його через заплановане завдання "Microsoft\Windows\Multimedia\SystemSoundsService".

Ефективність втілення кіберзагрози можна пояснити можливістю активації макросів, відсутністю контролю з боку захисних механізмів Signal, які використовуються як засіб передачі даних до комп'ютера, а також застосуванням API легітимних сервісів для управлінських цілей. Рекомендуємо звернути увагу на мережеву активність з "app.koofr.net" та "api.icedrive.net".

Цю активність пов'язують із діяльністю групи UAC-0001 (APT28), яка знаходиться під контролем російських розвідувальних служб.