Relatório recente aponta que o grupo APT28, associado a interesses russos, passou a utilizar uma variante customizada do framework open source Covenant em campanhas de intrusão. A adaptação inclui mudanças em protocolos de comunicação e técnicas de ofuscação para evitar detecção. A ferramenta é empregada após o comprometimento inicial para manter comando e controle em redes corporativas.
De acordo com a análise, a versão modificada do Covenant usada pelo APT28 altera padrões de comunicação e beaconing para se misturar ao tráfego legítimo e reduzir a eficácia de assinaturas conhecidas. O framework permite execução de comandos, movimentação lateral e exfiltração de dados, funcionando como uma plataforma de pós‐exploração altamente modular.
O APT28 tem histórico de ataques a alvos governamentais, militares e de mídia em diversos países, e a adoção desta variante reforça seu foco em operações furtivas de longa duração. A utilização de uma ferramenta open source, porém customizada, dificulta o uso de indicadores estáticos simples por defensores.
Especialistas recomendam que equipes de segurança intensifiquem a detecção baseada em comportamento, monitorando padrões de comunicação suspeitos, uso anômalo de PowerShell e WMI e criação de novos serviços persistentes. Também é essencial manter inventários de ativos, segmentar redes sensíveis e aplicar patches em serviços expostos frequentemente explorados na fase inicial de intrusão.
Sistemas Afetados
- Redes corporativas Windows alvo de operações de APT
- Servidores e estações com acesso à internet e ferramentas administrativas
Fonte: BleepingComputer
Ler fonte original