Группа кибершпионов Sednit расширила инструментарий и продолжает атаковать пользователей

Компания ESET — лидер в области информационной безопасности — сообщает о распространении нового семейства вредоносных программ Zebrocy группой киберпреступников Sednit (также известной как Strontium, APT28, Fancy Bear и Sofacy). Угроза состоит из трех компонентов: загрузчиков Delphi и AutoIt, а также бэкдора Delphi, которые применяются на первом этапе внедрения вредоносного программного обеспечения Sednit.

Жертвы Zebrocy зафиксированы в Украине, а также таких странах как Азербайджан, Босния и Герцеговина, Египет, Грузия, Иран, Казахстан, Корея, Киргизстан, Россия, Саудовская Аравия, Сербия, Швейцария, Таджикистан, Турция, Туркменистан, Уругвай и Зимбабве. Среди целей угрозы — дипломаты, посольства, министерства иностранных дел.

Основным вектором распространения Zebrocy являются вредоносные вложения электронной почты в форме документов Microsoft Office или архивов. Например, в конце 2017 года группа Sednit распространяла два различных вредоносных документа с названиями «Syria - New Russia provocations.doc» и «MFA Note Letter Mary Christmas Card.doc».

Экосистема Sednit

Сначала на компьютер жертвы попадает загрузчик Delphi. Его целью является собрать как можно больше информации с устройства пользователя. Хотя иногда киберпреступники сразу разворачивают следующий компонент — загрузчик AutoIt, который может получать список установленного программного обеспечения, версию Windows, перечень процессов, информацию с жесткого диска, делать снимки экрана, собирать разнообразную информацию о компьютере жертвы, используя объекты Windows Management Instrumentation (WMI).

Последним этапом в цепи Zebrocy является бэкдор Delphi. Он способен делать снимки экрана рабочего стола жертвы, считывать нажатия клавиш, списки дисков/сетевых ресурсов, выполнять файлы или создавать запланированные задачи. Бэкдор способен выполнять около 30 команд, которые отличаются в разных версиях.

А уже после этапа разведки на компьютерах пользователей, которые представляют интерес для киберпреступников и являются целями атаки, разворачиваются вредоносные программы Xagent и Xtunnel.

Напомним, занимаясь преступной активностью по меньшей мере с 2004 года, Sednit осуществляет сложные атаки, направленные на кражу конфиденциальной информации у заранее определенных пользователей. По данным исследования специалистов ESET, кибершпионы Sednit активно используют семейство вредоносных программ Zebrocy в течение последних двух лет. Анализ многих новых версий, которые регулярно появляются с 2017 года, свидетельствует об активном совершенствовании Zebrocy. По мнению специалистов ESET, это вредоносное программное обеспечение является одним из наиболее стабильных и развитых инструментов в арсенале Sednit, поэтому требует дальнейшего пристального наблюдения.