Pull to refresh
  • by relevance
  • by date
  • by rating

Хакерская группа Sednit переключилась на использование собственного набора эксплойтов

ESET NOD32 corporate blog
Последние пять лет группа хакеров под названием «Sednit» была достаточно активна и ее жертвами становились различные организации, преимущественно, в Восточной Европе. Эта группа использовала в своем арсенале различные виды вредоносных программ, одна из которых называется Win32/Sednit (a.k.a Sofacy).



Недавно мы столкнулись с компрометацией легитимных финансовых веб-сайтов. Эти сайты были скомпрометированы злоумышленниками и перенаправляли своих посетителей на набор эксплойтов. Основываясь на результатах наших исследований и информации, которая была предоставлена нам ресерчерами из Google Security Team, было установлено, что за компрометацией ресурсов стоит группа киберпреступников Sednit.

Читать дальше →
Total votes 2: ↑2 and ↓0 +2
Views 6.2K
Comments 2

Хакерская группа Sednit специализируется на атаках изолированных air-gapped сетей

ESET NOD32 corporate blog
Киберпреступная группа Sednit, которая также известна как Sofacy, APT28 или «Fancy Bear» специализируется в проведении атак на различные организации в течение многих лет. Недавно мы обнаружили, что эта группа начала специализироваться на атаках защищенных, изолированных от Интернет сетей типа air-gapped. Для этого используется специальная вредоносная программа, с помощью которой осуществляется похищение конфиденциальных данных компьютеров в скомпрометированной сети.



Ранее мы писали про преступную активность этой группы, которая использовала собственный набор эксплойтов для компрометации легитимных веб-сайтов и последующего заражения пользователей вредоносными программами. Об активности этой группы также сообщали FireEye в своем отчете, посвященном группе APT28, а также Trend Micro в отчете Operation Pawn Storm. В этом материале мы остановимся на новой области атак этой группы, которая использует вредоносную программу Win32/USBStealer для похищения конфиденциальных данных компьютеров сетей, изолированных от Интернет.

Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 20K
Comments 1

Хакерская группа Sednit использует 0day эксплойты для кибератак

ESET NOD32 corporate blog
Мы уже неоднократно писали про хакерскую группу Sednit (aka Sofacy, APT28, Fancy Bear). В наших исследованиях мы указывали, что в прошлом году эта группа прибегала к использованию кастомизированного (собственного) набора эксплойтов для компрометации пользователей. Для этого организовывались атаки типа watering hole (drive-by download), при этом привлекались различные 1day эксплойты для браузера MS Internet Explorer. Мы также указывали, что в прошлом году эта группа специализировалась на атаках изолированных air-gapped сетей различных предприятий, которым ограничен доступ в интернет в целях безопасности.



Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.

Читать дальше →
Total votes 10: ↑6 and ↓4 +2
Views 4.3K
Comments 4

Деятельность кибергруппировки Sednit под микроскопом

ESET NOD32 corporate blog Antivirus protection *
Мы уже несколько раз писали о деятельности кибергруппировки Sednit (APT28, Fancy Bear, Pawn Storm, Sofacy) в предыдущих постах нашего корпоративного блога. Эта группировка пыталась скомпрометировать более 1000 пользователей в различных организациях с использованием фишинговых атак, а также эксплойтов нулевого дня. Атакующие заинтересованы в краже конфиденциальной информации с компьютеров скомпрометированных пользователей.


Sednit осуществляла кибератаки на пользователей как минимум с 2004 г., при этом для их реализации использовались изощренные методы с обходом настроек сетевой безопасности. Исследователи ESET отслеживали деятельность группировки Sednit на протяжении последних двух лет. Sednit уличали в кибератаках на Комитет по выборам в Конгресс Демократической партии, немецкий парламент, серверы французского телеканала TV5Monde, а также антидопинговое агенство WADA.
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views 5.5K
Comments 0

Деятельность кибергруппировки Sednit под микроскопом — Часть 2

ESET NOD32 corporate blog Information Security *
Наши специалисты опубликовали вторую часть детального исследования деятельности и вредоносного ПО кибергруппировки Sednit. В предыдущей части мы публиковали информацию о фишинговых сообщениях и механизмах компрометации пользователей со стороны этой группировки, а также упомянули используемые ими эксплойты. В новой части нашего исследования речь пойдет о вредоносном ПО, которое используется Sednit для компрометации пользователей.


Группировка специализируется на компрометации только тех целей, которые заранее были выбраны для кибератаки, т. е. кибератака носит направленный характер и осуществляется после проведенной разведки этих целей. Вредоносный инструмент (toolkit) авторов состоит из трех основных компонентов: бэкдоров SEDRECO, XAGENT и сетевого агента XTUNNEL.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 5.8K
Comments 0

Группировка Sednit использует буткит в кибератаках

ESET NOD32 corporate blog Antivirus protection *
Первые две части [1,2] нашего детального анализа деятельности группировки Sednit были посвящены механизмам первоначальной компрометации пользователей, а также описанию бэкдоров группировки под названием SEDRECO, XAGENT и XTUNNEL. Эти бэкдоры использовались для кибершпионажа за скомпрометированными пользователями, а также для эксфильтрации данных из зараженных систем.



Заключительная часть нашего исследования посвящена интересному механизму скрытного поддержания своего присутствия в системе, который также используется группировкой для маскировки своего присутствия. Sednit использует для этих целей буткит-технологии, позволяющие компрометировать Windows на самом раннем этапе ее загрузки.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 4.3K
Comments 2

Год медведя. Как Fancy Bear провели 2017 год

ESET NOD32 corporate blog Antivirus protection *
Кибергруппа Sednit, более известная как Fancy Bear (Strontium, APT28, Sofacy), действует как минимум с 2004 года. Ее основная цель – кража конфиденциальной информации у высокопоставленных должностных лиц.


В статье собраны выводы из презентации ESET, озвученной на конференции BlueHat в ноябре 2017 года. Ранее в 2016 году мы публиковали исследование о деятельности Sednit с 2014 по 2016 гг. С того времени мы продолжали следить за операциями группы и сегодня представляем обзор основных кампаний и обновленных инструментов. В первой части отчета расскажем о новых способах компрометации целевых систем. Вторая часть посвящена эволюции инструментов, в фокусе флагман группы – вредоносная программа Xagent.

Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 2.8K
Comments 1

Анализ Zebrocy, вредоносного ПО первого этапа группы Fancy Bear

ESET NOD32 corporate blog Antivirus protection *
Sednit, также известные как APT28, Fancy Bear, Sofacy или STRONTIUM – группа злоумышленников, работающих с 2004 года, а может и раньше, основной целью которых является кража конфиденциальной информации у избранных объектов.


Примерно с конца 2015 года мы наблюдаем развертывание этой группой нового компонента – Zebrocy, загрузчика для Xagent (главного бэкдора Sednit). Лаборатория Касперского впервые упоминает данный компонент в 2017 году в отчете APT trend report и недавно выпустила статью с его описанием.

Новый компонент – семейство вредоносного ПО, состоящее из загрузчиков и бэкдоров, написанных на Delphi и AutoIt. Они играют в экосистеме Sednit ту же роль, что и Seduploader, – используются в качестве вредоносного ПО первого этапа атаки.

Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 3.5K
Comments 2

ESET: анализ новых компонентов Zebrocy

ESET NOD32 corporate blog Antivirus protection *
Кибегруппа Sednit действует минимум с 2004 и регулярно фигурирует в новостях. Считается, что Sednit (более известные как Fancy Bear) стоят за взломом Национального комитета Демократической партии США перед выборами 2016 года, Всемирного антидопингового агентства (WADA), телевизионной сети TV5Monde и другими атаками. В арсенале группы набор вредоносных инструментов, некоторые из которых мы задокументировали в прошлом отчете.

Недавно мы выпустили отчет о LoJax – UEFI-рутките, который также имеет отношение к Sednit и использовался в атаках на Балканах, в Центральной и Восточной Европе.

В августе 2018 года операторы Sednit развернули два новых компонента Zebrocy, и с этого момента мы наблюдаем всплеск использования этого инструмента. Zebrocy – набор из загрузчиков, дропперов и бэкдоров. Загрузчики и дропперы предназначены для разведки, в то время как бэкдоры обеспечивают персистентность и шпионские возможности. У этих новых компонентов необычный способ эксфильтрации собранных данных через связанные с почтовыми службами протоколы SMTP и POP3.

Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 1.3K
Comments 3