Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

В новой вредоносной кампании APT-группа Fancy Bear использовала новые языки программирования

26/09/19

Bearhack-2APT-группа Fancy Bear (также известна как APT28, Sednit, Sofacy и Strontium) обновила свой арсенал, добавив в него несколько инструментов. В частности, злоумышленники стали использовать новый загрузчик на языке Nim, обновили загрузчик на Golang и переписали основной бэкдор с Delphi на Golang.

По данным ESET, новая операция Fancy Bear проводилась в августе нынешнего года. Как и раньше, ее жертвами стали министерства иностранных дел и посольства по всей Европе и Азии. Злоумышленники рассылали жертвам фишинговые письма с вредоносным вложением.

Письма содержали пустой документ Word, переадресовывавший жертву на шаблон wordData.dotm, хранящийся в сервисе Dropbox. В шаблон были встроены вредоносные макросы, выполнявшие файл lmss.exe – новый загрузчик для трояна Zebrocy, написанный на Nim. Документ также содержал неактивный исполняемый файл AutoIt, ранее также использовавшийся как загрузчик. По мнению исследователей, злоумышленники просто забыли его удалить.

В общей сложности в ходе атаки установке финального бэкдора предшествовала установка шести различных вредоносных модулей. Эти модули пересылали на C&C-серверы данные о системе и другую информацию, делали скриншоты каждые 35 секунд в течение первых нескольких минут после заражения и получали от C&C-сервера команды и дополнительную полезную нагрузку.

По словам исследователей, бэкдор на Golang использовался во вредоносной кампании впервые. У него отсутствуют какие-либо персистентные элементы, разве что злоумышленники могут установить его вручную, запланировав задачу в Windows\Software\OSDebug. Однако вредонос способен создавать, модифицировать и удалять файлы, перечислять жесткие диски, делать снимки экрана и выполнять команды через cmd.exe.

Темы:УгрозыFancy BearAPT-группыESET
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...