Меню
Поиск

Группа киберпреступников Sednit снова распространяет бэкдор

28 май, 2019 - 15:05

Группа киберпреступников Sednit снова распространяет бэкдор

Компания ESET сообщила об обнаружении новых подробностей о деятельности группы киберпреступников Sednit. В течение нескольких последних лет вредоносное програмное обеспечение, созданное группой Sednit (также известная как APT28, Fancy Bear, Sofacy или STRONTIUM) атаковало цели в Европе, Центральной Азии и на Ближнем Востоке.

Со времени последних атак операторы Sednit значительно расширили функциональность бэкдора Zebrocy, который теперь способен выполнять более 30 различных команд и собирать большое количество данных о жертвах. После того, как бэкдор направляет основную информацию о новой зараженной системе, операторы начинают управлять этой угрозой и сразу отправляют команды. Таким образом, с момента, когда жертва запускает загрузчик, до отправления операторами первых команд проходит всего несколько минут.

В конце августа 2018 группа начала целенаправленную фишинговую атаку, с помощью которой отправляла сокращенные URL-адреса для распространения компонентов бэкдора Zebrocy первого этапа. «Использование этой техники необычно для Sednit. Ранее група использовала эксплойты, чтобы распространять и выполнять вредоносное ПО первого этапа, однако в этой кампании группа применяла исключительно методы социальной инженерии для введения в заблуждение жертв», — объясняют специалисты из исследовательского центра ESET в Монреале.

Компанией ESET было зафиксировано менее 20 кликов на ссылки в фишинговых письмах для загрузки вредоносного архива, однако общее количество жертв оценить невозможно. К сожалению, без образца электронного сообщения нельзя определить, есть ли в нем инструкции пользователю, другие примеры социальной инженерии, или в дальнейшем злоумышленники надеются исключительно на интерес потенциальных жертв. Архив содержит два файла: первый — исполняемый файл, а второй — документ-приманка в формате PDF. Первые команды собирают информацию о компьютере и среде жертвы, другие используются для получения файлов с компьютера, если операторы узнают о наличии интересных файлов на нем.

«Коэффициент обнаружения, безусловно, ниже по сравнению с обычными бэкдорами. Проблема в коротком промежутке времени, в течение которого этот бэкдор находится в системе и работает, поэтому обнаружить его достаточно сложно, — отмечают специалисты ESET. — После завершения своей деятельности, злоумышленники быстро удаляют бэкдор».