俄罗斯国家支持的威胁组织APT28正在利用Signal聊天针对乌克兰政府目标,使用两种此前未被记录的恶意软件家族BeardShell和SlimAgent。消息来源指出,这并不是Signal本身的安全问题,而是由于该平台在全球政府间使用率的增加,攻击者常用其来进行钓鱼攻击。
乌克兰计算机应急响应小组(CERT-UA)首次发现这些攻击是在2024年3月,但当时关于感染向量的细节有限。2025年5月,ESET通知CERT-UA某gov.ua电子邮件账户遭到未经授权的访问,引发了一次新的事件响应。在新的调查中,CERT-UA发现通过加密消息应用Signal发送的消息用于向目标传送恶意文档(Акт.doc),该文档利用宏加载名为Covenant的驻内存后门。
Covenant作为恶意软件加载器,下载DLL文件(PlaySndSrv.dll)和含有shellcode的WAV文件(sample-03.wav),加载BeardShell这一此前未被记录的C++恶意软件。为了确保BeardShell和主要恶意软件有效载荷的持久性,使用了Windows注册表中的COM劫持技术。
BeardShell的主要功能是下载PowerShell脚本,使用’chacha20-poly1305’解密并执行。执行结果被传送到命令和控制(C2)服务器,与服务器的通信通过Icedrive API进行。在2024年的攻击中,CERT-UA还发现一个名为SlimAgent的屏幕截图抓取器,使用一系列Windows API函数捕获屏幕截图。
CERT-UA将这一活动归因于APT28,并建议潜在目标监控与app.koofr.net和api.icedrive.net的网络交互。APT28以其针对乌克兰及美国和欧洲其他关键组织的网络间谍活动而闻名。