Месенджери
Life

Українців атакують росіяни у месенджері Signal – що відомо про нову кіберзагрозу

Adem AY / Unsplash

Замість листів – шкідливі макроси

Російське хакерське угруповання APT28, яке вважають афілійованим зі спецслужбами рф, освоїло новий канал для шпигунських атак – месенджер Signal. За даними дослідників, саме через нього зловмисники поширюють шкідливе програмне забезпечення, спрямоване проти українських урядових структур. Про це повідомляє "Дивогляд" із посиланням на "24 канал".

Signal, попри свою репутацію безпечної платформи, не був зламаний. Він виступає лише як інструмент комунікації: через нього надсилаються фішингові повідомлення зі шкідливими файлами чи посиланнями. З огляду на популярність месенджера серед військових і державних службовців, хакери обрали саме його для контактів із потенційними жертвами.

Перші ознаки нової кіберактивності були зафіксовані ще в березні 2024 року, але тоді інформації було обмаль. У травні 2025-го розслідування пожвавилося після повідомлення від ESET про злам поштової скриньки в домені gov.ua. За оцінкою CERT-UA, атака використовувала два нові шкідливі інструменти – BeardShell і SlimAgent.

В одному з випадків зараження зловмисники надіслали файл "Акт.doc", який містив макроси для запуску бекдора Covenant. Цей бекдор виконує завантаження додаткових шкідливих компонентів, зокрема бібліотеки PlaySndSrv.dll та WAV-файлу з зашифрованим кодом. Результатом є активація BeardShell – шпигунської програми на C++, яка дозволяє запускати PowerShell-скрипти, розшифровані за допомогою алгоритму chacha20-poly1305. Зібрана інформація передається через API Icedrive.

Другий компонент, SlimAgent, виконує приховані знімки екрана, шифрує їх і зберігає локально. Він також був задіяний у попередніх атаках APT28 у 2024 році.

Фахівці CERT-UA пов’язують цю кампанію з групою UAC-0001. Вони рекомендують звертати увагу на активність, пов’язану з доменами app.koofr.net і api.icedrive.net, а також бути насторожі до повідомлень українською мовою, навіть у на перший погляд безпечних каналах.

Раніше "Дивогляд" розповідав про те, чому в РНБО незадоволені популярним месенджером Signal.

Поки на нашій землі війна, навіть "Дивогляд" – це не про котиків і пандочок, а про перемоги нашого війська! Наш Telegram – Дивогляд 5.UA.

Теги:
кібербезпека соцмережі хакери

ПРОКОМЕНТУЙТЕ

МАТЕРІАЛИ ЗА ТЕМОЮ

Viber
Українців атакують шахраї через Viber – як себе захистити
Хакер
Нові схеми шахраїв: як українцям захистити гроші у 2025 році
паролі
Хакери починають з них: найпопулярніші PIN-коди, які легко зламати