Компанія ESET — експерт в галузі інформаційної безпеки — повідомляє про виявлення нових подробиць щодо діяльності групи кіберзлочинців Sednit. Протягом декількох останніх років шкідливе програмне забезпечення, створене групою Sednit (також відома як APT28, Fancy Bear, Sofacy або STRONTIUM) атакувало цілі в Європі, Центральній Азії та на Близькому Сході.
З часу останніх атак оператори Sednit значно розширили функціонал бекдору Zebrocy, який тепер здатен виконувати більше 30 різних команд на інфікованих комп'ютерах та збирати велику кількість даних про жертв. Після того, як бекдор надсилає основну інформацію про нову інфіковану систему, оператори починають управляти цією загрозою та відразу відправляють команди. Таким чином, від моменту, коли жертва запускає завантажувач, до відправлення операторами перших команд проходить лише кілька хвилин.
Наприкінці серпня 2018 року група Sednit розпочала цілеспрямовану фішингову атаку, за допомогою якої розповсюджувала скорочені URL-адреси для поширення компонентів бекдора Zebrocy першого етапу. «Використання цієї техніки незвичне для Sednit. Раніше група використовувала експлойти, щоб поширювати та виконувати шкідливе ПЗ першого етапу, однак у цій кампанії група застосовувала виключно методи соціальної інженерії для введення в оману жертв», — пояснюють спеціалісти з дослідницького центру ESET в Монреалі.
Компанією ESET було зафіксовано щонайменше 20 кліків на посилання у фішингових листах для завантаження шкідливого архіву, однак загальну кількість жертв оцінити неможливо. На жаль, без зразка електронного повідомлення не можна визначити, чи є у ньому інструкції користувачу, інші приклади соціальної інженерії, чи в подальшому зловмисники сподіваються виключно на інтерес потенційних жертв. Архів містить два файли: перший — виконуваний файл, а другий — документ-приманка формату PDF. Перші команди збирають інформацію про комп'ютер та середовище жертви, інші команди використовуються для отримання файлів з комп'ютера, якщо оператори дізнаються про наявність цікавих файлів на ньому.
«Коефіцієнт виявлення, безумовно, нижчий порівняно зі звичайними бекдорами. Проблема у короткому проміжку часу, протягом якого цей бекдор знаходиться в системі і працює, тому виявити його досить складно, — зауважують спеціалісти ESET.— Після завершення своєї діяльності, зловмисники швидко видаляють бекдор».
Більш детальна інформація про діяльність групи кіберзлочинців Sednit та бекдор Zebrocy доступна за посиланням.