Хакерская группа Fancy Bear обновила свой бэкдор Xagent - «Новости»
sitename
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
 Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
 Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
 На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
 Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
 Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
 Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
 Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
 Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
 Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Хакерская группа Fancy Bear обновила свой бэкдор Xagent - «Новости»

✔Хакерская группа Fancy Bear обновила свой бэкдор Xagent - «Новости»

28 декабря 2017 640 Новости 0

Специалисты компании ESET представили интересный отчет, посвященный деятельности группировки Fancy Bear (также известной под именами APT28, Sednit, Pawn Storm, Strontium и так далее). Эксперты рассказали, чем хакеры занимались в уходящем 2017 году, а также отметили появление новой версии основной вредоносной программы группировки – бэкдора Xagent, который используется в операциях шпионажа.


Исследователи напоминают, что Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET уже опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц.


В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа разворачивает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух инструментов, которые как правило применяют Fancy Bear, является модульный бэкдор Xagent.


Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой, также оснащенный шпионскими функциями, включая кейлоггинг и эксфильтрацию файлов. Ранние версии малвари были ориентированы на Linux и Windows и были обнаружены несколько лет назад, в 2015 году появилась версия для iOS, через год – для Android, а в начале 2017 года – для OS X.


В феврале 2017 года специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Теперь малварь использует новые методы обфускации данных и алгоритм генерации доменов (DGA) для резервных доменов. Эта новая функция реализована в канале WinHttp, ответственном за связь с C&C-сервером. В отличие от обычного DGA, который извлекает начальное значение из псевдослучайных чисел, он получает заданное число (возможно, генерируемое при компиляции) для данного образца. Способ генерации домена выглядит следующим образом:


  • к начальному числу применяется набор операций;

  • результат дает отклонение для трех разных массивов (добавлением другого начального числа к каждому массиву);

  • после вычисления нового отклонение (отклонение + начальное число) расшифровывается слово;

  • все слова соединены (четыре слова используются для генерации домена, четвертое слово – из первого массива, но с другим отклонением);

  • добавляется «.com».

«Последняя версия бэкдора крайне интересна, операторы явно много работали над ней. С момента обнаружения мы наблюдали in-the-wild две версии Xagent: одна с каналом и неизвестным модулем, вторая со всеми модулями и каналом, но без неизвестного модуля. Можем предположить, что группа добавила еще один уровень проверки целей – загрузку Xagent с несколькими модулями. Если жертва представляет интерес, она получит другую, полнофункциональную версию бэкдора», — пишут аналитики ESET.


Основываясь на мониторинге деятельности группировки и том факте, что хакеры продолжают совершенствовать свои инструменты, эксперты полагают, что Fancy Bear сохранят высокую активность и в грядущем 2018 году.


Источник новостиgoogle.com

Специалисты компании ESET представили интересный отчет, посвященный деятельности группировки Fancy Bear (также известной под именами APT28, Sednit, Pawn Storm, Strontium и так далее). Эксперты рассказали, чем хакеры занимались в уходящем 2017 году, а также отметили появление новой версии основной вредоносной программы группировки – бэкдора Xagent, который используется в операциях шпионажа. Исследователи напоминают, что Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET уже опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц. В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа разворачивает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух инструментов, которые как правило применяют Fancy Bear, является модульный бэкдор Xagent. Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой, также оснащенный шпионскими функциями, включая кейлоггинг и эксфильтрацию файлов. Ранние версии малвари были ориентированы на Linux и Windows и были обнаружены несколько лет назад, в 2015 году появилась версия для iOS, через год – для Android, а в начале 2017 года – для OS X. В феврале 2017 года специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Теперь малварь использует новые методы обфускации данных и алгоритм генерации доменов (DGA) для резервных доменов. Эта новая функция реализована в канале WinHttp, ответственном за связь с C
CSS, Fancy генерации версии группа бэкдор
0

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация