27 mei 2019 16:08

ESET kraakt laatste digitale wapens van beruchte Sednit (Fancy Bear)-groep

Onderzoekers van ESET in Montreal hebben zopas de resultaten gepubliceerd van hun nieuwste onderzoek betreffende de beruchte Sednit-groep. Sinds een aantal jaren heeft de Advanced Persistent Threat (APT) Sednit groep (ook gekend als APT28, Fancy Bear, Sofacy of STRONTIUM) doelwitten in Europa, Centraal Asië en het Midden Oosten aangevallen. Sindsdien, is het aantal en de diversiteit van hun tools drastisch toegenomen. Als onderdeel hiervan, onderzocht ESET Zebrocy, de backdoor van Sednit, waarvan de mogelijkheden nu toegenomen zijn dankzij de potentiële uitvoering van meer dan 30 verschillende bevelen en zo computers te besmetten en aanzienlijke hoeveelheden informatie over het doelwit te verzamelen.

Zebrocy voert zijn zijn taak zeer snel: op het moment de backdoor basisinformatie doorstuurt via een nieuw besmet systeem, nemen de operatoren de controle over de backdoor en beginnen ze onmiddellijk bevelen uit te sturen. Voor het slachtoffer bedraagt de tijd tussen het downloaden en de eerste bevelen van de operator slecht enkele minuten.

Eind augustus 2018 lanceerde de Sednit-groep een speer-phishing-e-mailcampagne waarin verkorte URL’s werden verspreid die de Zebrocy-componenten voor de eerste aanvalfase leverde. “De rechtstreekse verspreiding van zijn malware componenten was voor de groep een ongebruikelijke techniek. Voorheen had de groep exploits gebruikt om het eerste deel van de malware te leveren en uit te voeren. In deze campagne vertrouwde de groep volledig op social engineering om slachtoffers te overtuigen het eerste deel van de aanval uit te voeren,” verduidelijkt Alexis Dorais-Joncas, Security Intelligence Team Lead bij ESET R&D in Montreal.

ESET registreerde minstens 20 clicks op de kwaadaardige link, maar het totaal aantal slachtoffers is niet te schatten. “Zonder e-mail bericht, weten we jammer genoeg niet of er instructies voor de gebruiker werden verspreid, ook niet of er nog meer social egineerig is en of het enkel van de nieuwsgierigheid van het slachtoffer afhangt. Het archief telt twee bestanden; het eerste is een uitvoerbaar bestand, terwijl het tweede een vals PDF-document is,” aldus Dorais-Joncas.

De commando’s verzamelen eerst informatie over de computer en de omgeving van het slachtoffer, terwijl andere commando’s gebruikt worden om bestanden uit de computer te halen in het geval de operator interessante bestanden op de machine weet te vinden.

“Het detectie-ratio is aanzienlijk lager dan bij de gebruikelijke backdoor. De zeer korte tijdspanne waar de backdoor op het systeem functioneert maakt het moeilijker om het terug te halen. Eens de operatoren hun kwaadaardige daden hebben uitgevoerd, halen ze het snel weg,” zegt Dorais-Joncas, terwijl hij de snelle werking van deze backdoor benadrukt.

Lees de nieuwste onderzoeksresultaten over Sednit en Zebrocy op WeLiveSecurity.com.

Enkele maanden geleden verkondigde ESET het bestaan van een UEFI rootkit met de naam LoJax , die werd toegeschreven aan de Sednit-groep. Dit is nieuw voor een APT-groep en laat zien dat Sednit toegang heeft tot zeer geavanceerde tools om zijn spionageactiviteiten uit te voeren.

Over ESET Al 30 jaar ontwikkelt ESET®wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie. ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003. Bezoek voor meer info https://www.eset.com/be-nl/ of volg ons op LinkedIn, Facebook en Twitter.