⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de ameaças APT28, patrocinado pelo Estado russo, está usando uma variante personalizada da estrutura pós-exploração Covenant de código aberto para operações de espionagem de longo prazo.
Também conhecido como Fancy Bear, Forest Blizzard, Strontium e Sednit, o grupo de hackers APT28 é conhecido por desenvolver implantes de alta tecnologia e violar entidades notáveis, como o Parlamento alemão, várias organizações francesas, redes governamentais na Polônia e países europeus membros da OTAN.
Pesquisadores da empresa de segurança cibernética ESET perceberam que desde abril de 2024, o grupo russo passou a usar em ataques dois implantes chamados BeardShell e Covenant.
“Esta abordagem de duplo implante permitiu a vigilância a longo prazo do pessoal militar ucraniano”, observa hoje a ESET num relatório.
Os dois malwares foram usados recentemente para atingir órgãos executivos centrais da Ucrânia em ataques que exploraram a vulnerabilidade CVE-2026-21509 no Microsoft Office por meio de arquivos DOC maliciosos.
Os pesquisadores descobriram essas famílias de malware depois de descobrirem o SlimAgent, um implante de keylogging implantado em um sistema governamental ucraniano capaz de capturar teclas digitadas, coletar áreas de transferência e capturar capturas de tela.
BeardShell é um implante moderno que aproveita o serviço legítimo de armazenamento em nuvem Icedrive para comunicação de comando e controle (C2). Ele pode executar comandos do PowerShell em um ambiente de execução .NET e foi usado junto com o SlimAgent, de acordo com um relatório do CERT-UA em junho de 2025.
A ESET descobriu que o BeardShell também usa uma técnica de ofuscação exclusiva vista anteriormente no Xtunnel, uma ferramenta de dinamização de rede que o APT28 usou na década de 2010.
Nos ataques recentes, o grupo de ameaças russo combinou o BeardShell com uma versão fortemente modificada da estrutura de pós-exploração Covenant .NET de código aberto.
As mudanças introduzidas incluem identificadores determinísticos de implante vinculados às características do host, fluxo de execução modificado para evitar a detecção comportamental e novos protocolos de comunicação baseados em nuvem.
Desde julho de 2025, o ator da ameaça usa o provedor de nuvem Filen com Covenant. Anteriormente, o invasor usava os serviços Koofr e pCloud.
Painel do CovenantFonte: ESET
A ESET diz que o Covenant é usado como implante primário e o BearShell serve como ferramenta alternativa.
“Desde 2023, os desenvolvedores do Sednit fizeram uma série de modificações e experimentos com o Covenant para estabelecê-lo como seu principal implante de espionagem, mantendo o BeardShell principalmente como uma alternativa caso o Covenant encontre problemas operacionais, como a derrubada de sua infraestrutura baseada em nuvem.” -ESET
A ESET acredita que a equipe avançada de desenvolvimento de malware do APT28 voltou à atividade em 2024, dando ao grupo de ameaças novas capacidades de espionagem de longo prazo. As semelhanças técnicas com o malware da era de 2010 indicam continuidade na equipe de desenvolvimento do grupo de ameaças.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
Também conhecido como Fancy Bear, Forest Blizzard, Strontium e Sednit, o grupo de hackers APT28 é conhecido por desenvolver implantes de alta tecnologia e violar entidades notáveis, como o Parlamento alemão, várias organizações francesas, redes governamentais na Polônia e países europeus membros da OTAN.
Pesquisadores da empresa de segurança cibernética ESET perceberam que desde abril de 2024, o grupo russo passou a usar em ataques dois implantes chamados BeardShell e Covenant.
“Esta abordagem de duplo implante permitiu a vigilância a longo prazo do pessoal militar ucraniano”, observa hoje a ESET num relatório.
Os dois malwares foram usados recentemente para atingir órgãos executivos centrais da Ucrânia em ataques que exploraram a vulnerabilidade CVE-2026-21509 no Microsoft Office por meio de arquivos DOC maliciosos.
Os pesquisadores descobriram essas famílias de malware depois de descobrirem o SlimAgent, um implante de keylogging implantado em um sistema governamental ucraniano capaz de capturar teclas digitadas, coletar áreas de transferência e capturar capturas de tela.
BeardShell é um implante moderno que aproveita o serviço legítimo de armazenamento em nuvem Icedrive para comunicação de comando e controle (C2). Ele pode executar comandos do PowerShell em um ambiente de execução .NET e foi usado junto com o SlimAgent, de acordo com um relatório do CERT-UA em junho de 2025.
A ESET descobriu que o BeardShell também usa uma técnica de ofuscação exclusiva vista anteriormente no Xtunnel, uma ferramenta de dinamização de rede que o APT28 usou na década de 2010.
Nos ataques recentes, o grupo de ameaças russo combinou o BeardShell com uma versão fortemente modificada da estrutura de pós-exploração Covenant .NET de código aberto.
As mudanças introduzidas incluem identificadores determinísticos de implante vinculados às características do host, fluxo de execução modificado para evitar a detecção comportamental e novos protocolos de comunicação baseados em nuvem.
Desde julho de 2025, o ator da ameaça usa o provedor de nuvem Filen com Covenant. Anteriormente, o invasor usava os serviços Koofr e pCloud.
Painel do CovenantFonte: ESET
A ESET diz que o Covenant é usado como implante primário e o BearShell serve como ferramenta alternativa.
“Desde 2023, os desenvolvedores do Sednit fizeram uma série de modificações e experimentos com o Covenant para estabelecê-lo como seu principal implante de espionagem, mantendo o BeardShell principalmente como uma alternativa caso o Covenant encontre problemas operacionais, como a derrubada de sua infraestrutura baseada em nuvem.” -ESET
A ESET acredita que a equipe avançada de desenvolvimento de malware do APT28 voltou à atividade em 2024, dando ao grupo de ameaças novas capacidades de espionagem de longo prazo. As semelhanças técnicas com o malware da era de 2010 indicam continuidade na equipe de desenvolvimento do grupo de ameaças.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #hackers #apt28 #implantam #variante #personalizada #da #ferramenta #de #código #aberto #covenant
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário