《网络战争》第63期:APT28武器大升级

俄罗斯Fancy Bear APT组织已经重构了后门,改进了加密技术,使其变得更加隐蔽,更难以制止。

根据安全公司ESET的专家发表的一份新报告:俄罗斯Fancy Bear APT组织(又名Sednit,APT28,Sofacy,Pawn Storm和Strontium)所进行的操作更为复杂,难以察觉。

该组织最近翻新了其最受欢迎的后门之一Xagent,通过实施新的功能使其更加隐蔽和更难以阻止。同时,他们重新设计了恶意软件的体系结构,因此很难依据识别以前的感染模式进行检测。

X-Agent后门(也称为Sofacy)与APT组织FancyBear的几次间谍活动有关,多年来,专家们观察到X-Agent专门用于威胁Windows,Linux,iOS和Android操作系统。

Bitdefender2017年初的研究人员发现了第一个为了破坏MAC OS系统而开发的X-Agent版本。

Table 1Xagent versioning

module/channel

v3 uid

v4 uid

最新版本的X-Agent后门,实现了混淆字符串和所有运行时类型信息的新技术。

网络间谍们升级了一些用于C&C的代码,并在WinHttp通道中添加了一个新的域生成算法(DGA)功能,用于快速创建后备C&C域。

图 解密算法部分

ESET观察到这些工具在加密算法和DGA实现方面的重大改进,使域接管变得更加困难。

FancyBear还实施了内部改进,包括可用于隐藏恶意软件配置数据和受感染系统上的其他数据的新命令。

但他们的攻击链条仍然保持不变,Fancy Bear依然严重依赖“非常巧妙制作的网络钓鱼电子邮件”。

ESET发表的报告称“攻击通常以包含恶意链接或恶意附件的电子邮件开始。不过,我们已经看到了他们在今年使用的方法的转变。过去,Sedkit是他们首选的攻击媒介,但是自2016年年底以来,这类攻击工具已经完全消失。“

该组织已经停止使用Sedkit漏洞利用工具包,并越来越多地开始使用DealersChoice平台,该平台也是该组织针对黑山使用的Flash漏洞利用框架(例如:利用CVE-2017-11292 0-day)。

该组织选择根据目标的配置生成嵌入式Adobe Flash Player漏洞的文档。但Fancy Bear的业务仍然集中在世界各地的政府部门和使馆。

IoCs

Table 2. Phishing

Table 3. Seduploader Samples

Table 4. Xagent Samples

参考

http://securityaffairs.co/wordpress/67029/apt/fancy-bear-apt-backdoor.html

https://www.welivesecurity.com/2017/12/21/sednit-update-fancy-bear-spent-year/

https://download.bitdefender.com/resources/media/materials/white-papers/en/Bitdefender_In-depth_analysis_of_APT28%E2%80%93The_Political_Cyber-Espionage.pdf

大家都在看

本文来自企鹅号 - 秦安战略媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

那些让人怦然心动的SD-WAN功能(上)

在上一篇文章中,笔者介绍了业界主流SD-WAN方案和SDN的关系,展示了目前商用SD-WAN方案中实现路由交换的技术细节(参见:主流商用SD-WAN方案真的算是...

48260
来自专栏域名资讯

四字母域名kqiu.com竟以五位数被秒

四字母域名简短好记,方便用户输入和访问,性价比也非常高,是许多企业所青睐的品种,终端应用价值大。这不有消息:一枚四字母.com竟然卖了五位数!

263100
来自专栏PHP在线

PHP 开发者的 Docker 之旅

用 PHP 作为我们「Docker 开发大礼包」开篇是带着一些朝圣的心情的。这是一门堪称「古老」的语言,这也是一门争议最多的语言,这更是一门不断涅槃的语言。「P...

41190
来自专栏FreeBuf

社交平台上的桃色陷阱:僵尸网络SIREN侵袭Twitter

近年来,越来越多的恶意攻击者盯上了各大社交媒体。这些社交平台由于使用便捷、可扩展性强、自动化程度高,受众面广泛等特性,为攻击者发起僵尸网络攻击提供了得天独厚的条...

29040
来自专栏程序员宝库

误删生产数据库,顺丰一高级工程师被开除

9 月 19 日,微博网友大佬坊间八卦爆料,顺丰科技数据中心的一位高级工程师(邓XX)误删生产数据库,导致某项服务无法使用并持续 590 分钟。顺丰根据公司相关...

14750
来自专栏做全栈攻城狮

Python开发实战教程(8)-向网页提交获取数据

Python应用现在如火如荼,应用范围很广。因其效率高开发迅速的优势,快速进入编程语言排行榜前几名。本系列文章致力于可以全面系统的介绍Python语言开发知识和...

19930
来自专栏AI研习社

Google 工程师:教你用树莓派 + Arduino + TensorFlow 搭建图像识别小车

从买第一个Arduino套装开始,我接触机器人有好几年了,但直到最近才开始做完整的课题。期间有两项技能为我打开了新世界的大门:Python和Linux。他们背后...

863110
来自专栏FreeBuf

任天堂3DS游戏机烧录卡蓝屏事件

在2013年8月份gateway-3ds发布第一款3DS游戏烧录卡,正式宣告了3DS被破解,可以免费玩众多3DS游戏。在这几个月之后多家山寨厂商开始盗用gate...

314100
来自专栏晨星先生的自留地

Linux发展史

50960
来自专栏人工智能头条

无人驾驶系统安全

24540

扫码关注云+社区

领取腾讯云代金券