Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении новой версии угрозы Xagent — основного шпионского программного обеспечения группы киберпреступников Sednit (также известная как Strontium, APT28, Fancy Bear и Sofacy). По данным исследования специалистов ESET, киберпреступники продолжили активную деятельность в 2017 году и не собираются останавливаться на достигнутом в следующем году.
Занимаясь преступной активностью по меньшей мере с 2004 года, группа Sednit осуществляет сложные атаки, направленные на кражу конфиденциальной информации у заранее определенных целей. Жертвами ежегодно становились различные важные структуры. Так, например, в 2015 году киберпреступники совершили атаку на телевизионную французскую сеть TV5MONDE и немецкий парламент, а в 2016 году — на Национальный комитет Демократической партии США (DNC).
Для попадания вредоносного программного обеспечения на устройства пользователей Sednit использует два основных вектора атак — заманивание жертв открывать вредоносное вложения в сообщении электронной почты или перенаправление из электронного письма на сайт с набором эксплойтов. После этого киберпреступники разворачивают на устройствах жертв шпионский инструментарий, с помощью которого осуществляют долгосрочный мониторинг зараженных рабочих станций. Одной из таких вредоносных программ для шпионажа за пользователями является бэкдор Xagent.
«Xagent является хорошо продуманным бэкдором, который за последние несколько лет стал основным шпионским программным обеспечением группы Sednit, — рассказывают специалисты вирусной лаборатории ESET. — Это модульное вредоносное программное обеспечение, обладающее способностью связываться через протокол HTTP или через электронную почту, широко используется во время атак данной группы».
В 2017 году специалисты ESET обнаружили новую версию Xagent для Windows, которая использует новые методы для избежания обнаружения. В частности, в обновленном бэкдоре киберпреступники улучшили шифрование строк благодаря уникальным методам для каждого бинарного файла.
«В бэкдор добавлены такие техники, как шифрование и Domain Generation Algorithm (DGA), — предупреждают специалисты ESET. — Шифрования делает анализ бэкдора более тяжелым, тогда как DGA затрудняет обнаружение домена, поскольку создаются дополнительные фальшивые домены».
Добавление новых функций и совместимость со всеми основными платформами — Windows, Linux, Android и OS — подтверждает то, что Xagent сегодня является основным бэкдором группыSednit.
«Киберпреступники Fancy Bear постоянно совершенствуют свой инструментарий, — отмечают специалисты ESET. — Новая версия бэкдора Xagent является невероятно сложной и представляет значительный интерес для исследователей. Теперь специалисты ESET могут предположить, что группа Sednit добавила еще один уровень для проверки своих целей, сначала загружая Xagent только с несколькими модулями. Если же киберпреступников заинтересовала жертва, на ее устройство загрузится другая версия со всеми модулями».
В связи с возможной опасностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям использовать надежные антивирусные решения и придерживаться основных правил безопасности для защиты от фишинг-атак.