Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про поширення нового сімейства шкідливих програм Zebrocy групою кіберзлочинців Sednit (також відомої як Strontium, APT28, Fancy Bear та Sofacy). Загроза складається з трьох компонентів: завантажувачів Delphi та AutoIt, а також бекдора Delphi, які застосовуються на першому етапі розгортання шкідливого програмного забезпечення Sednit.
Жертви Zebrocy були зафіксовані в Україні, а також таких країнах як Азербайджан, Боснія та Герцеговина, Єгипт, Грузія, Іран, Казахстан, Корея, Киргизстан, Росія, Саудівська Аравія, Сербія, Швейцарія, Таджикистан, Туреччина, Туркменістан, Уругвай та Зімбабве. Серед цілей загрози — дипломати, посольства, міністерства закордонних справ.
Основним вектором поширення Zebrocy є шкідливі вкладення електронної пошти у формі документів Microsoft Office або архівів. Наприклад, в кінці 2017 року група Sednit поширювала два різних шкідливих документа з назвами «Syria - New Russia provocations.doc» та «MFA Note Letter Mary Christmas Card.doc».
Екосистема Sednit
Спершу на комп’ютер жертви потрапляє завантажувач Delphi. Його метою є зібрати якнайбільше інформації з пристрою користувача. Хоча інколи кіберзлочинці відразу розгортають наступний компонент — завантажувач AutoIt, який може отримувати список інстальованого програмного забезпечення, версію Windows, перелік процесів, інформацію з жорсткого диску, робити знімки екрану, збирати різноманітну інформацію про комп’ютер жертви, використовуючи об’єкти Windows Management Instrumentation (WMI).
Останнім етапом в ланцюзі Zebrocy є бекдор Delphi. Він здатний робити знімки екрану робочого столу жертви, зчитувати натискання клавіш, списки дисків/мережевих ресурсів, виконувати файли або створювати заплановані завдання. Бекдор здатен виконувати близько 30 команд, які відрізняються у різних версіях.
А вже після етапу розвідки на комп’ютерах користувачів, які становлять інтерес для кіберзлочинців та є цілями атаки, розгортаються шкідливі програми Xagent та Xtunnel.
Нагадаємо, займаючись злочинною активністю щонайменше з 2004 року, Sednit здійснює складні атаки, спрямовані на викрадення конфіденційної інформації у заздалегідь визначених користувачів. За даними дослідження спеціалістів ESET, кібершпигуни Sednit активно використовують сімейство шкідливих програм Zebrocy протягом останніх двох років. Аналіз багатьох нових версій, що регулярно з'являються з 2017 року, свідчить про активне вдосконалення Zebrocy. На думку спеціалістів ESET, це шкідливе програмне забезпечення є одним з найбільш стабільних та розвинених інструментів в арсеналі Sednit, тому потребує подальшого пильного спостереження.