itkvariat

    Бэкдор группировки Sednit оказался сложнее, чем думали раньше




    Международная антивирусная компания ESET изучила возможности бэкдора Zebrocy группировки Sednit (также известной под названиями APT28, Fancy Bear и Sofacy). Вредоносная программа из арсенала хакеров теперь способна выполнять более 30 команд, а ее обнаружение стало еще сложнее.

    В августе прошлого года группировка Sednit развернула первые компоненты вредоносной программы Zebrocy. Киберпреступники рассылали фишинговые письма с прикрепленным архивом, в котором содержались исполняемый файл и PDF-документ в качестве приманки. 

    ESET подчеркивает, что группировка редко использует методы социальной инженерии для доставки компонентов вредоносных программ. Обычно злоумышленники прибегают к помощи эксплойтов. 

    После компрометации компьютера злоумышленники посылают первые команды на зараженное устройство. Эксперты ESET отмечают, что проходит всего несколько минут между запуском вредоносного загрузчика и отправкой первой команды. Изучение набора команд дает основание полагать, что процесс может быть автоматизирован.
    На первом этапе злоумышленники посылают команду собрать информацию о компьютере, после чего запускаются вредоносные бинарные файлы, и извлекается интересующая информация.

    Если компьютер жертвы покажется достаточно интересным для киберпреступников, они разворачивают дополнительный бэкдор для перехвата COM-объектов. Это ведет к повышенной персистентности вредоносной программы, даже если бэкдор устанавливался всего на несколько часов.   

    Всего операторы Zebrocy могут посылать более 30 команд на скомпрометированное устройство. 

    По мнению специалистов ESET, Zebrocy не так просто обнаружить по сравнению с обычными бэкдорами — операторы программы мгновенно удаляют следы злонамеренной деятельности сразу после завершения операции. 

    Антивирусные продукты ESET успешно детектируют угрозы как Win32/TrojanDownloader.Sednit.CMT, Win32/HackTool.PSWDump.D, Win32/PSW.Agent.OGE.

    Sednit действует как минимум с 2004 года. Основная цель группировки — кража конфиденциальной информации у финансовых, правительственных и общественных организаций. Группе приписывают атаки на Национальный комитет Демпартии США, парламент ФРГ, антидопинговое агентство WADA и телеканал TV5 Monde (Франция). 

    Sednit стала первой группировкой, которая использовала UEFI-руткит под названием LoJax. 
    Подробнее об угрозе — в блоге ESET.






    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Раскрыт новый арсенал инструментов хакерской группировки Turla
  • Бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange
  • Хакерская группировка OceanLotus атаковала компьютеры с macOS
  • Эксперты выявили первую реальную атаку с использованием руткита LoJax для UEFI
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Positive Technologies утверждает: социальная инженерия открывает хакерам двери вашей компании
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    
Проверьте скорость вашего интернета!


Что бывало...
Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



Бэкдор группировки Sednit оказался сложнее, чем думали раньше




Международная антивирусная компания ESET изучила возможности бэкдора Zebrocy группировки Sednit (также известной под названиями APT28, Fancy Bear и Sofacy). Вредоносная программа из арсенала хакеров теперь способна выполнять более 30 команд, а ее обнаружение стало еще сложнее.

В августе прошлого года группировка Sednit развернула первые компоненты вредоносной программы Zebrocy. Киберпреступники рассылали фишинговые письма с прикрепленным архивом, в котором содержались исполняемый файл и PDF-документ в качестве приманки. 

ESET подчеркивает, что группировка редко использует методы социальной инженерии для доставки компонентов вредоносных программ. Обычно злоумышленники прибегают к помощи эксплойтов. 

После компрометации компьютера злоумышленники посылают первые команды на зараженное устройство. Эксперты ESET отмечают, что проходит всего несколько минут между запуском вредоносного загрузчика и отправкой первой команды. Изучение набора команд дает основание полагать, что процесс может быть автоматизирован.
На первом этапе злоумышленники посылают команду собрать информацию о компьютере, после чего запускаются вредоносные бинарные файлы, и извлекается интересующая информация.

Если компьютер жертвы покажется достаточно интересным для киберпреступников, они разворачивают дополнительный бэкдор для перехвата COM-объектов. Это ведет к повышенной персистентности вредоносной программы, даже если бэкдор устанавливался всего на несколько часов.   

Всего операторы Zebrocy могут посылать более 30 команд на скомпрометированное устройство. 

По мнению специалистов ESET, Zebrocy не так просто обнаружить по сравнению с обычными бэкдорами — операторы программы мгновенно удаляют следы злонамеренной деятельности сразу после завершения операции. 

Антивирусные продукты ESET успешно детектируют угрозы как Win32/TrojanDownloader.Sednit.CMT, Win32/HackTool.PSWDump.D, Win32/PSW.Agent.OGE.

Sednit действует как минимум с 2004 года. Основная цель группировки — кража конфиденциальной информации у финансовых, правительственных и общественных организаций. Группе приписывают атаки на Национальный комитет Демпартии США, парламент ФРГ, антидопинговое агентство WADA и телеканал TV5 Monde (Франция). 

Sednit стала первой группировкой, которая использовала UEFI-руткит под названием LoJax. 
Подробнее об угрозе — в блоге ESET.






Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Раскрыт новый арсенал инструментов хакерской группировки Turla
  • Бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange
  • Хакерская группировка OceanLotus атаковала компьютеры с macOS
  • Эксперты выявили первую реальную атаку с использованием руткита LoJax для UEFI
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Positive Technologies утверждает: социальная инженерия открывает хакерам двери вашей компании
  • Как Microsoft создает Xbox One X - самую мощную игровую консоль в мире (+видео)


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024