Новая активность группы Sednit: киберпреступники снова распространяют бэкдор

Компания ESET – эксперт в области информационной безопасности – сообщает об обнаружении новых подробностей о деятельности группы киберпреступников Sednit. В течение нескольких последних лет вредоносное програмное обеспечение, созданное группой Sednit (также известная как APT28, Fancy Bear, Sofacy или STRONTIUM) атаковало цели в Европе, Центральной Азии и на Ближнем Востоке.

Современные Интернет-атаки в виде бэкдора влияют на программное обеспечение пользователей – ESET.

Со времени последних атак операторы Sednit значительно расширили функционал бэкдора Zebrocy, который теперь способен выполнять более 30 различных команд и собирать большое количество данных о жертвах. После того, как бэкдор направляет основную информацию о новой зараженной системе, операторы начинают управлять этой угрозой и сразу отправляют команды. Таким образом, с момента, когда жертва запускает загрузчик, до отправления операторами первых команд проходит всего несколько минут.

В конце августа 2018 группа начала целенаправленную фишинговую атаку, с помощью которой отправляла сокращенные URL-адреса для распространения компонентов бэкдора Zebrocy первого этапа. «Использование этой техники необычно для Sednit. Ранее група использовала эксплойты, чтобы распространять и выполнять вредоносное ПО первого этапа, однако в этой кампании группа применяла исключительно методы социальной инженерии для введения в заблуждение жертв», ­– объясняют специалисты из исследовательского центра ESET в Монреале.

Компанией ESET было зафиксировано менее 20 кликов на ссылки в фишинговых письмах для загрузки вредоносного архива, однако общее количество жертв оценить невозможно. К сожалению, без образца электронного сообщения нельзя определить, есть ли в нем инструкции пользователю, другие примеры социальной инженерии, или в дальнейшем злоумышленники надеются исключительно на интерес потенциальных жертв. Архив содержит два файла: первый – исполняемый файл, а второй – документ-приманка в формате PDF. Первые команды собирают информацию о компьютере и среде жертвы, другие используются для получения файлов с компьютера, если операторы узнают о наличии интересных файлов на нем.

«Коэффициент обнаружения, безусловно, ниже по сравнению с обычными бэкдорами. Проблема в коротком промежутке времени, в течение которого этот бэкдор находится в системе и работает, поэтому обнаружить его достаточно сложно, – отмечают специалисты ESET. – После завершения своей деятельности, злоумышленники быстро удаляют бэкдор».

Более подробная информация о деятельности группы киберпреступников Sednit и бэкдор Zebrocy доступна по ссылке.