导语:近日,据外媒报道称,俄罗斯Fancy Bear APT组织已经重构了后门,改进了加密技术,使其变得更加隐蔽,更难以制止。

近日,据外媒报道称,俄罗斯Fancy Bear APT组织已经重构了后门,改进了加密技术,使其变得更加隐蔽,更难以制止。

根据安全公司ESET专家发表的一份新报告指出,俄罗斯Fancy Bear APT组织(又名Sednit、APT28、Sofacy、Pawn Storm和Strontium)最近已经重构了其最受欢迎的后门之一——Xagent,通过实施新的功能使其所进行的操作变得更为复杂、隐蔽,难以察觉也难以制止。此外,他们还重新设计了恶意软件的体系结构,因此使得识别以前的感染模式变得更为艰难。

X-Agent后门(也称为Sofacy)与APT组织FancyBear的几次间谍活动有关,多年来,安全专家们观察到X-Agent的多个变体专门用于威胁Windows、Linux、iOS和Android操作系统。2017年初,Bitdefender的研究人员发现了第一个X-Agent版本,它是为了破坏MAC OS系统而开发的。

最新版本的X-Agent后门,是安全研究人员迄今为止发现的第四个版本,它实现了混淆字符串和所有运行时类型信息的新技术。网络间谍们升级了一些用于C&C目的的代码,并在WinHttp通道中添加了一个新的域生成算法(DGA)功能,用于快速创建后备C&C域。ESET观察到,正是由于加密算法和DGA实现方面的重大改进,使得域接管变得更加困难。

此外,FancyBear还实施了内部改进,包括可用于隐藏恶意软件配置数据和受感染系统上的其他数据的新命令。但其“攻击链”大致保持不变,Fancy Bear APT组织依然非常依赖“非常巧妙制作的网络钓鱼电子邮件”。

Fancy-Bear-mail_merrychristmas.png

ESET在其发表的报告中指出,

攻击通常是以包含恶意链接或恶意附件的电子邮件开始的。不过,我们发现,他们在今年所使用的方法已经出现了转变。Sedkit是他们过去首选的攻击媒介,但是这个攻击工具包自2016年下半年以来已经完全消失。自从我们的白皮书发布以来,DealersChoice漏洞平台已经成为了该组织的首选方法,但是我们也发现,该组织还正在使用其他一些方法,例如宏或使用Microsoft Word动态数据交换等。 

目前,该组织已经停止使用Sedkit漏洞利用工具包,并越来越多地开始使用DealersChoice漏洞平台,该平台也是该组织针对黑山共和国使用的Flash漏洞利用框架(例如利用 CVE-2017-11292 零日漏洞)。DealersChoice可以根据目标的配置生成嵌入式Adobe Flash Player漏洞的文档。

政府部门、使馆以及记者群体受损严重

目前,Fancy Bear的业务仍然集中在世界各地的政府部门和使馆。但新变化是,记者群体已经发展成为Fancy Bear组织的第三大攻击目标,仅次于外交人员和美国民主党人。根据相关统计数据显示,从 2014 年中期到几个月前,至少 200 名记者遭到了 Fancy Bear 攻击,其中约 50 名记者为《纽约时报》工作,另外 50 名是驻俄罗斯的外国通讯记者或为独立新闻机构工作的记者,其余人员包括乌克兰,摩尔多瓦,波罗的海和华盛顿的知名媒体人物。

源链接

Hacking more

...