Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про виявлення нової версії загрози Xagent — провідного шпигунського програмного забезпечення групи кіберзлочинців Sednit (також відома як Strontium, APT28, Fancy Bear та Sofacy). За даними дослідження спеціалістів ESET, кіберзлочинці продовжили активну діяльність у 2017 році і не збираються зупинятися на досягнутому в наступному році.
Займаючись злочинною активністю щонайменше з 2004 року, група Sednit здійснює складні атаки, спрямовані на викрадення конфіденційної інформації у заздалегідь визначених цілей. Жертвами щороку ставали різноманітні важливі структури. Так, наприклад, у 2015 року кіберзлочинці здійснили атаку на телевізійну французьку мережу TV5MONDE та німецький парламент, а у 2016 році – на Національний комітет Демократичної партії США (DNC).
Для розгортання шкідливого програмного забезпечення на пристроях користувачів Sednit використовує два основні вектори атак – заманювання жертв відкривати шкідливе вкладення у повідомленні електронної пошти або перенаправлення з електронного листа на веб-сайт з набором експлойтів. Після цього кіберзлочинці розгортають на пристроях жертв шпигунський інструментарій, за допомогою якого здійснюють довгостроковий моніторинг інфікованих робочих станцій. Однією з таких шкідливих програм для шпигування за користувачами є бекдор Xagent.
«Xagent є добре продуманим бекдором, який за останні кілька років став провідним шпигунським програмним забезпеченням групи Sednit, — розповідають спеціалісти вірусної лабораторії ESET. — Це модульне шкідливе програмне забезпечення, що володіє здатністю зв’язуватися через протокол HTTP або через електронну пошту, широко використовується під час атак даної групи».
У 2017 році спеціалісти ESET виявили нову версію Xagent для Windows, яка використовує нові методи для уникнення виявлення. Зокрема в оновленому бекдорі кіберзлочинці покращили спосіб шифрування рядків завдяки унікальним методам для кожного бінарного файлу.
«До бекдору додані такі техніки, як шифрування та Domain Generation Algorithm (DGA), — попереджають спеціалісти ESET. — Шифрування робить аналіз бекдору більш важким, тоді як DGA ускладнює виявлення домену, оскільки створюються додаткові фальшиві домени».
Додавання нових функцій та сумісність з усіма основними платформами — Windows, Linux, Android та OS — підтверджує те, що Xagent на сьогодні є основним бекдором групи Sednit.
«Кіберзлочинці Fancy Bear постійно вдосконалюють власний інструментарій, — зауважують спеціалісти ESET. — Нова версія бекдору Xagent є неймовірно складною та становить значний інтерес для дослідників. Тепер спеціалісти ESET можуть припустити, що група Sednit додала ще один рівень для перевірки своїх цілей, спершу завантажуючи Xagent лише з декількома модулями. Якщо ж кіберзлочинців зацікавила жертва, на її пристрій завантажиться інша версія з усіма модулями».
У зв’язку з можливою небезпекою подальшого поширення загрози спеціалісти ESET рекомендують користувачам використовувати надійні антивірусні рішення та дотримуватися основних правил безпеки для захисту від фішинг-атак.