Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Обнаружена связь между APT28 и другой кибершпионской группировкой

Обнаружена связь между APT28 и другой кибершпионской группировкой


05.10.2018

Обнаружена связь между APT28 и другой кибершпионской группировкой

Исследователи из Symantec обнаружили связь между APT28 и другой хакерской группировкой, осуществляющей кибератаки на военные организации в Европе и Азии.

APT28, также известная как Fancy Bear, Sednit, STRONTIUM и Sofacy, зачастую связывается ИБ-экспертами с правительством РФ. Группировка активна как минимум с 2004 года и предположительно ответственна за взлом политических организаций, имеющих отношение к выборам президента США в 2016 году. Ей также приписываются атаки на Всемирное антидопинговое агентство (WADA) и украинских военных. APT28 имеет в своем распоряжении множество высокотехнологичных инструментов для взлома (трояны, бэкдоры и системы для сбора информации), как правило, играющие роль "двойных агентов".

Earworm (альтернативное название Zebrocy) существует чуть более двух лет. Группировка специализируется преимущественно на тайном сборе информации, принадлежащей организациям в Европе и Азии, с помощью целенаправленного фишинга. По данным ESET, Earworm  атакует посольства, министерства иностранных дел и дипломатов в России, Саудовской Аравии, Швейцарии, Сербии, Украине и Иране.

Группировка использует только два инструмента. Первый – Trojan.Zekapab, загрузчик с базовыми функциями для сбора информации. Второй – Backdoor.Zekapab, модуль для похищения файлов, загрузки и выполнения дополнительных модулей, модифицирования реестра и получения снимков экрана.

Название Zebrocy было изначально присвоено семейству вредоносного ПО из арсенала APT28. Тем не менее, оно может принадлежать другой группировке или просто использоваться ими обеими. По мнению исследователей Symantec, несмотря на различия между Earworm и APT28, они преследуют общие цели и могут обмениваться ресурсами.

По данным исследователей, в 2016 году обе группировки использовали один и тот же C&C-сервер, и их операции пересекались. Тем не менее, Earworm и APT28 – две разные группировки и осуществляют разные атаки.

Учитывая, что Россия есть в списке атакуемых целей Earworm, вряд ли группировка имеет отношение к российским спецслужбам. Скорее всего, продавая свои инструменты другим киберпреступникам, APT28 нашла дополнительный источник заработка.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.