Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων
infosec

Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων

Ορισμένες δημοφιλείς διανομές Linux έχουν ένα σφάλμα στο package-management interface, το οποίο θα μπορούσε να χρησιμοποιήσει ένας εισβολέας για να...
Read More
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
Latest Posts

Ανατομή της ομάδας κατασκοπείας Sednit

Οι ερευνητές της  ESET ανακοίνωσαν ότι προχώρησαν στην κλιμακωτή έκδοση μίας εκτεταμένης  ερευνητικής εργασίας 3 τμημάτων με τίτλο «En-Route with Sednit». Η Sednit, μια διαβόητη ομάδα κυβερνο-εγκληματιών – επίσης γνωστή ως APT28, Fancy Bear και Sofacy, λειτουργεί από το 2004, επιδιώκοντας κυρίως την κλοπή εμπιστευτικών πληροφοριών από συγκεκριμένους στόχους.Sednit keyboard

  •          Το 1ο Μέρος: «En Route with Sednit: Approaching the Target» επικεντρώνεται στους στόχους των εκστρατειών phishing, τις μεθόδους επίθεσης που χρησιμοποιούνται και το πρώτο στάδιο malware που ονομάζεται SEDUPLOADER, και που αποτελείται από ένα dropper και το σχετικό φορτίο του.
  •          Το 2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» καλύπτει τις δραστηριότητες της Sednit από το 2014 και μελετά την εργαλειοθήκη κατασκοπείας που χρησιμοποιείται για τη μακροπρόθεσμη παρακολούθηση των παραβιασμένων υπολογιστών μέσω των δύο backdoors (SEDRECO και XAGENT), καθώς και το εργαλείο δικτύου XTUNNEL.
  •          Το 3ο Μέρος: «En Route with Sednit: A Mysterious Downloader» περιγράφει το λογισμικό first stage που ονομάζεται DOWNDELPH, το οποίο, σύμφωνα με τα στοιχεία της τηλεμετρίας της ESET έχει χρησιμοποιηθεί μόνο επτά φορές. Αξίζει να σημειωθεί ότι σε ορισμένες από αυτές τις χρήσεις εφαρμόστηκαν προηγμένες μέθοδοι παραμονής: Windows bootkit και Windows rootkit.

«Το διαρκές ενδιαφέρον της ESET για αυτές τις κακόβουλες δραστηριότητες προέκυψε από την ανίχνευση ενός εντυπωσιακού αριθμού προσαρμοσμένου λογισμικού που είχε αναπτύξει η ομάδα τα τελευταία δύο χρόνια», είπε ο Alexis DoraisJoncas, επικεφαλής της ομάδας ESET Security Intelligence, που είναι υπεύθυνη για τη διερεύνηση του μυστηρίου που κρύβεται πίσω από την ομάδα Sednit.

«Τα όπλα της ομάδας είναι σε συνεχή ανάπτυξη. Η ομάδα χρησιμοποιεί ολοκαίνουργιο λογισμικό και τεχνικές σε τακτική βάση, ενώ η ναυαρχίδα του κακόβουλου λογισμικού τους έχει εξελιχθεί σημαντικά τα τελευταία χρόνια.»

Σύμφωνα με τους ερευνητές της ESET, τα δεδομένα που συλλέγονται από τις εκστρατείες phishing της ομάδας Sednit δείχνουν ότι πάνω από 1.000 άτομα υψηλού προφίλ που εμπλέκονται στην πολιτική της Ανατολικής Ευρώπης δέχθηκαν επίθεση. «Επιπλέον, η ομάδα Sednit, σε αντίθεση με οποιαδήποτε άλλη ομάδα κατασκοπείας, ανέπτυξε το δικό της exploit kit και ανέπτυξε ένα εκπληκτικά υψηλό αριθμό 0-day exploits», κατέληξε o DoraisJoncas.

Κατά τα τελευταία χρόνια, οι δραστηριότητες υψηλού προφίλ της ομάδας έχουν προσελκύσει το ενδιαφέρον πολλών ερευνητών στον τομέα αυτό. Κατά συνέπεια, η προβλεπόμενη συνεισφορά του συγκεκριμένου εγγράφου είναι να προσφέρει μια ευανάγνωστη τεχνική περιγραφή, με αυστηρά ομαδοποιημένους δείκτες IOC (Indicators of Compromise), άμεσα διαθέσιμη τόσο σε ερευνητές όσο και σε όσους είναι επιφορτισμένοι με την ανάλυση των ανιχνεύσεων της ομάδας Sednit.

Και τα τρία μέρη της έρευνας είναι αποθηκευμένα στο λογαριασμό GitHub της ESET.

Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι, μπορούν να επισκεφθούν το portal WeLiveSecurity.com της ESET, όπου είναι διαθέσιμο το εισαγωγικό blogpost για το 1ο Μέρος 1, το 2ο Μέρος & το 3ο Μέρος ή να αναζητήσουν ξεχωριστά το καθένα στην πλήρη του μορφή  :

1ο Μέρος: «En Route with Sednit: Approaching the Target»

2ο Μέρος: «En Route with Sednit: Observing the Comings and Goings» 

3ο Μέρος: «En Route with Sednit: A Mysterious Downloader»

Η ESET θα εκδώσει επίσης μία σύνοψη όλων των μερών στο WeLiveSecurity.com

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *