Хакерская группа Fancy Bear обновила свой бэкдор Xagent - «Новости»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
OpenAI подарила неограниченный доступ к ИИ-генератору видео Sora, но не всем и не навсегда - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Fallout: London получит несколько DLC в 2025 году, а его авторы уже работают над оригинальной игрой на другом движке - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Telegram после обновления стал быстрее разряжать Apple iPhone - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Ventiva предлагает ионную систему охлаждения для чипов с TDP до 40 Вт — в ней вообще нет движущихся частей - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Саудовская Аравия привлечёт роботов для строительства футуристического мегаполиса в пустыне - «Новости сети»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
Подключайте Телеграм-бота от Яндекс Вебмастера — «Блог для вебмастеров»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
S.T.A.L.K.E.R. 2: Heart of Chornobyl уже окупилась и взяла курс на новые платформы - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Половина трафика замедленного YouTube перетекла на отечественные аналоги, заявил глава Минцифры - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Роскомнадзор пообещал не собирать данные о личных устройствах тех, кто посещает заблокированные сайты - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Китай испытал прямоточный воздушно-реактивный двигатель с детонацией для самолётов вдвое быстрее Ту-144 и «Конкорда» - «Новости сети»
Новости мира Интернет » Новости » Хакерская группа Fancy Bear обновила свой бэкдор Xagent - «Новости»

Специалисты компании ESET представили интересный отчет, посвященный деятельности группировки Fancy Bear (также известной под именами APT28, Sednit, Pawn Storm, Strontium и так далее). Эксперты рассказали, чем хакеры занимались в уходящем 2017 году, а также отметили появление новой версии основной вредоносной программы группировки – бэкдора Xagent, который используется в операциях шпионажа.


Исследователи напоминают, что Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET уже опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц.


В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа разворачивает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух инструментов, которые как правило применяют Fancy Bear, является модульный бэкдор Xagent.


Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой, также оснащенный шпионскими функциями, включая кейлоггинг и эксфильтрацию файлов. Ранние версии малвари были ориентированы на Linux и Windows и были обнаружены несколько лет назад, в 2015 году появилась версия для iOS, через год – для Android, а в начале 2017 года – для OS X.


В феврале 2017 года специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Теперь малварь использует новые методы обфускации данных и алгоритм генерации доменов (DGA) для резервных доменов. Эта новая функция реализована в канале WinHttp, ответственном за связь с C&C-сервером. В отличие от обычного DGA, который извлекает начальное значение из псевдослучайных чисел, он получает заданное число (возможно, генерируемое при компиляции) для данного образца. Способ генерации домена выглядит следующим образом:


  • к начальному числу применяется набор операций;

  • результат дает отклонение для трех разных массивов (добавлением другого начального числа к каждому массиву);

  • после вычисления нового отклонение (отклонение + начальное число) расшифровывается слово;

  • все слова соединены (четыре слова используются для генерации домена, четвертое слово – из первого массива, но с другим отклонением);

  • добавляется «.com».

«Последняя версия бэкдора крайне интересна, операторы явно много работали над ней. С момента обнаружения мы наблюдали in-the-wild две версии Xagent: одна с каналом и неизвестным модулем, вторая со всеми модулями и каналом, но без неизвестного модуля. Можем предположить, что группа добавила еще один уровень проверки целей – загрузку Xagent с несколькими модулями. Если жертва представляет интерес, она получит другую, полнофункциональную версию бэкдора», — пишут аналитики ESET.


Основываясь на мониторинге деятельности группировки и том факте, что хакеры продолжают совершенствовать свои инструменты, эксперты полагают, что Fancy Bear сохранят высокую активность и в грядущем 2018 году.


Источник новостиgoogle.com

Специалисты компании ESET представили интересный отчет, посвященный деятельности группировки Fancy Bear (также известной под именами APT28, Sednit, Pawn Storm, Strontium и так далее). Эксперты рассказали, чем хакеры занимались в уходящем 2017 году, а также отметили появление новой версии основной вредоносной программы группировки – бэкдора Xagent, который используется в операциях шпионажа. Исследователи напоминают, что Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET уже опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц. В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа разворачивает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух инструментов, которые как правило применяют Fancy Bear, является модульный бэкдор Xagent. Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой, также оснащенный шпионскими функциями, включая кейлоггинг и эксфильтрацию файлов. Ранние версии малвари были ориентированы на Linux и Windows и были обнаружены несколько лет назад, в 2015 году появилась версия для iOS, через год – для Android, а в начале 2017 года – для OS X. В феврале 2017 года специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Теперь малварь использует новые методы обфускации данных и алгоритм генерации доменов (DGA) для резервных доменов. Эта новая функция реализована в канале WinHttp, ответственном за связь с C

Смотрите также

А что там на главной? )))



Комментарии )))