Μια πρόσφατη εκστρατεία επίθεσης που ξεκίνησε η Fancy Bear έχει αποκαλύψει ένα ενημερωμένο σύνολο εργαλείων που περιλαμβάνει ένα backdoor γραμμένο σε μια νέα γλώσσα. Η Fancy Bear, γνωστή και ως APT28, Sednit, Sofacy και Strontium, είναι μια ομάδα APT (advanced persistent threat) που έχει συνδεθεί με μια σειρά πολιτικά παρακινημένων επιθέσεων. Τα προηγούμενα θύματα της APT περιλαμβάνουν την Εθνική Δημοκρατική Επιτροπή των ΗΠΑ (DNC), τον Παγκόσμιο Οργανισμό Anti-Doping (WADA), τον Ουκρανικό στρατό, τον Σύνδεσμο Αθλητικών Ομοσπονδιών (IAAF) και διάφορες κυβερνητικές οντότητες. Πιστεύεται ότι η Fancy Bear είναι ρωσική ομάδα και λειτουργεί τουλάχιστον από το 2004, αναπτύσσοντας και αλλάζοντας διαρκώς το οπλοστάσιό της, συμπεριλαμβανομένης μιας ποικιλίας από malware payload όπως τα Trojans και UEFI rootkits.
Οι cyberattackers μπορεί επίσης να έχουν συνδέσεις με την Earworm, μια άλλη ομάδα που λειτουργεί με πολιτικά κίνητρα, δεδομένης της χρήσης των κοινών command-and-control (C2) server. Μια νέα καμπάνια της Fancy Bear έχει ανακαλυφθεί από την ESET. Η ομάδα, χρησιμοποιεί phishing email που περιέχουν κακόβουλα payloads, καθώς και ένα νέο backdoor σύστημα.
Έχει προστεθεί μια νέα γλώσσα προγραμματισμού, η Nim, η οποία σχεδιάστηκε για να συγκεντρώνει πτυχές της Python, της Ada και της Modula. Ένας από τους downloaders του κακόβουλου λογισμικού έχει γραφτεί σε Nim.
Το phishing email περιέχει ένα συνημμένο Word το οποίο είναι κενό, αλλά αναφέρεται σε ένα απομακρυσμένο template που φιλοξενείται στο Dropbox, wordData.dotm. Το template έχει ενσωματωμένες κακόβουλες μακρο-εντολές οι οποίες τρέχουν το lmss.exe, το νέο πρόγραμμα λήψης Nim για το Trojan Zebrocy. Ένα άλλο πρόγραμμα download φορτώνεται από τη Nim module. Αυτό το payload είναι γραμμένο σε Golang και βασίζεται στον κώδικα Delphi.
Συνολικά, έξι κακόβουλες ενότητες περιλαμβάνονται στην αλυσίδα επίθεσης πριν από την τελική ανάπτυξη ενός backdoor Golang. Οι hacker θα χρησιμοποιήσουν αυτά τα στοιχεία για να συλλέξουν βασικές πληροφορίες για την μεταφορά στο C2 τους, καθώς και για να τραβάνε screenshot κάθε 35 δευτερόλεπτα κατά τη διάρκεια των πρώτων λεπτών της μόλυνσης και στο τέλος να καταφέρουν να αρπάξουν επιπλέον payloads και εντολές από το C2.
“Φαίνεται ότι η ομάδα Sednit μεταφέρει τον αρχικό κώδικα σε άλλες γλώσσες ή τις επανεγγράφει, με την ελπίδα να αποφύγει την ανίχνευση”, λέει η ESET. “Είναι μάλλον ευκολότερο με αυτόν τον τρόπο και αυτό σημαίνει ότι δεν χρειάζεται να αλλάξουν ολόκληρο το TTP [Tactics, Techniques and Procedures] τους . Ο αρχικός συμβιβαστικός φορέας παραμένει αμετάβλητος, αλλά η χρήση μιας υπηρεσίας όπως το Dropbox για τη λήψη ενός απομακρυσμένου προτύπου είναι ασυνήθιστη για την ομάδα. “
