In Nieuws

Onderzoekers van ESET hebben de werkwijze van Sednit groep in kaart gebracht. De groep heeft zijn backdoor Zebrocy voorzien van nieuwe functies, waardoor deze breder inzetbaar is voor de doeleinden van de groep.

De Sednit-groep, ook wel bekend als APT28, Fancy Bear, Sofacy of Strontium is sinds 2004 actief en heeft in de afgelopen jaren meerdere krantenkoppen gehaald. Prodicom schreef in 2017 al eerder over Fancy Bear. De Russische hackersgroep Fancy Bear maakte toen actief gebruik van een zwakke plek in Microsoft Office.

De Advanced Persistent Threat (APT) groep is al enkele jaren bezig met het aanvallen van doelen in Europa, Centraal-Azië en Midden-Oosten. Sindsdien is het aantal en diversiteit van de componenttools drastisch toegenomen. Als onderdeel van de ontdekking keek ESET naar de achterdeur van Sednit, genaamd Zebrocy, waarvan de mogelijk nu zijn toegenomen. Dit is dankzij de mogelijkheid om meer dan 30 verschillende opdrachten uit te voeren op gecompromitteerde computers. Daarnaast kan het aanzienlijke hoeveelheden informatie over het doelwit te verzamelen.

Spear-phishing
Eind augustus 2018 lanceerde de Sednit-groep een spear-phishing e-mailcampagne, waarin verkorte URL’s werden verspreid die first-stage Zebrocy componenten leverden. Het is echter ongebruikelijk dat de groep deze techniek gebruikt om rechtstreeks één van zijn malwarecomponenten te leveren.

“Eerder gebruikte het exploits om de first-stage malware te leveren en uit te voeren, terwijl de groep in deze campagne volledig afhankelijk was van social engineering om slachtoffers naar het eerste deel van de keten te lokken”, legt ESET-teamleider Alexis Dorais-Joncas uit.

Het is onduidelijk hoeveel slachtoffers de hackersgroep heeft gemaakt met deze campagne. ESET heeft ten minste 20 klikken op de schadelijke link vastgelegd, maar het totale aantal slachtoffers kan niet worden achterhaald.

“Helaas weten we zonder het e-mailbericht niet of er instructies aan de gebruiker zijn gegeven, of dat er nog meer social engineering gebruikt wordt, of dat het juist afhangt van de nieuwsgierigheid van de onwetende gebruiker. Het archief bevat twee bestanden; de eerste is een uitvoerbaar bestand, terwijl de tweede een nep PDF-document is als “lokaas”,” voegt Dorais-Joncas eraan toe.

Moeilijk te achterhalen
Volgens de onderzoekers werkt Zebrocy bijzonder snel. Zodra de achterdeur basisinformatie verstuurt over het gecompromitteerde systeem, nemen de aanvallers de controle over. Daarna worden er direct commando’s verstuurd. Daardoor zit er slechts een paar minuten tussen het uitvoeren van de download en de eerste opdrachten van de operator.
Zodra de aanval is afgerond, wordt de malware direct verwijderd. Het zeer korte tijdsbestek waarin de backdoor openstaat maakt het moeilijk om Zebrocy in de praktijk te detecteren.

Meer informatie over het onderzoek van ESET, de hackersgroep Sednit/Fancy Bear en de backdoor Zebrocy kan je vinden op welivesecurity.com: A journey to Zebrocy land

Start typing and press Enter to search