APT28利用Signal加密聊天平台对乌克兰发起新型恶意软件攻击
据乌克兰计算机紧急响应小组(CERT-UA)及ESET研究,俄罗斯国家支持的黑客组织APT28(又称UAC-0001)利用加密通讯应用Signal的聊天功能,向乌克兰政府目标发起新型恶意软件攻击,部署了两种此前未记录的恶意软件家族:BeardShell和SlimAgent。
此次攻击始于2024年3月,CERT-UA首次发现相关活动,但当时未查明具体感染途径。2025年5月,ESET发现一gov.ua邮箱账户被未授权访问,触发新一轮调查。调查显示,攻击者通过Signal发送包含恶意宏的文档(Акт.doc),加载内存驻留后门Covenant。Covenant进一步下载包含BeardShell的DLL文件(PlaySndSrv.dll)和壳代码WAV文件(sample-03.wav),通过Windows注册表中的COM劫持技术确保持久性。
APT28以网络间谍活动闻名,长期针对乌克兰、美国及欧洲关键机构。2024年11月,Volexity披露其利用“最近邻”技术,通过附近Wi-Fi网络实施远程攻击。
来源:Bleeping Computer
据乌克兰计算机紧急响应小组(CERT-UA)及ESET研究,俄罗斯国家支持的黑客组织APT28(又称UAC-0001)利用加密通讯应用Signal的聊天功能,向乌克兰政府目标发起新型恶意软件攻击,部署了两种此前未记录的恶意软件家族:BeardShell和SlimAgent。
此次攻击始于2024年3月,CERT-UA首次发现相关活动,但当时未查明具体感染途径。2025年5月,ESET发现一gov.ua邮箱账户被未授权访问,触发新一轮调查。调查显示,攻击者通过Signal发送包含恶意宏的文档(Акт.doc),加载内存驻留后门Covenant。Covenant进一步下载包含BeardShell的DLL文件(PlaySndSrv.dll)和壳代码WAV文件(sample-03.wav),通过Windows注册表中的COM劫持技术确保持久性。
APT28以网络间谍活动闻名,长期针对乌克兰、美国及欧洲关键机构。2024年11月,Volexity披露其利用“最近邻”技术,通过附近Wi-Fi网络实施远程攻击。
来源:Bleeping Computer
