Нова активність групи Sednit: бекдор атакує користувачів Східної Європи та Центральної Азії

Наступна новина

Компанія ESET — лідер в галузі інформаційної безпеки — попереджає про нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sednit. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.

Група кіберзлочинців Sednit, яка відома своїми атаками щонайменше з 2004 року, продовжує вдосконалювати шкідливий інструментарій Zebrocy. Зокрема зловмисники використали мову програмування Nim у власному завантажувачі. Також кіберзлочинці Sednit вдосконалили Golang-завантажувач та переписали бекдор з мови Delphi в Golang.

Вектором інфікування жертв цього разу стали фішингові електронні повідомлення зі шкідливим вкладеннями. Після відкриття файлів на комп’ютер користувача завантажується щонайменше шість шкідливих компонентів, які зрештою запускають новий бекдор. Ця шкідлива програма написана мовою Golang, а не Delphi, як уже відомий бекдор Sednit. Однак обидві загрози мають багато спільного.

Зокрема новий бекдор також може створювати, модифікувати та видаляти файли, здійснювати знімки екрану, а також робити перелік зовнішніх накопичувачів. Хоч бекдор має дуже обмежений набір команд, можливість виконання довільних команд через cmd.exe дозволяє збирати інформацію з комп’ютера жертви.

Поява нових завантажувачів та нового бекдора свідчить про те, що група активно вдосконалює власний шкідливий інструментарій. Зокрема Sednit переписує оригінальний код іншими мовами з метою уникнення виявлення. Початковий вектор інфікування залишається незмінним, проте використання служби Dropbox для завантаження віддаленого шаблону є незвичним для цієї групи кіберзлочинців.

У зв’язку з поширенням загрози спеціалісти ESET рекомендують користувачам бути уважними під час відкриття підозрілих вкладень електронної пошти та дотримуватися основних рекомендацій для захисту від фішингових атак.

У той час дослідники ESET продовжують спостерігати за активністю Sednit та публікуватимуть матеріали у разі виявлення нової інформації про подальші атаки.

Детальніша інформація про бекдор групи та індикатори інфікування доступні за посиланням.