Хакерская группа Fancy Bear обновила свой бэкдор Xagent

Специалисты компании ESET представили интересный отчет, посвященный деятельности группировки Fancy Bear (также известной под именами APT28, Sednit, Pawn Storm, Strontium и так далее). Эксперты рассказали, чем хакеры занимались в уходящем 2017 году, а также отметили появление новой версии основной вредоносной программы группировки – бэкдора Xagent, который используется в операциях шпионажа.

Исследователи напоминают, что Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В 2016 году ESET уже опубликовала подробный отчет об инструментах и методах группы, доказав, что главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц.

В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа разворачивает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы. Один из двух инструментов, которые как правило применяют Fancy Bear, является модульный бэкдор Xagent.

Xagent – продуманный и качественно спроектированный бэкдор с модульной архитектурой, также оснащенный шпионскими функциями, включая кейлоггинг и эксфильтрацию файлов. Ранние версии малвари были ориентированы на Linux и Windows и были обнаружены несколько лет назад, в 2015 году появилась версия для iOS, через год – для Android, а в начале 2017 года – для OS X.

В феврале 2017 года специалисты ESET обнаружили новую, четвертую по счету версию Xagent для Windows. Теперь малварь использует новые методы обфускации данных и алгоритм генерации доменов (DGA) для резервных доменов. Эта новая функция реализована в канале WinHttp, ответственном за связь с C&C-сервером. В отличие от обычного DGA, который извлекает начальное значение из псевдослучайных чисел, он получает заданное число (возможно, генерируемое при компиляции) для данного образца. Способ генерации домена выглядит следующим образом:

• к начальному числу применяется набор операций;
• результат дает отклонение для трех разных массивов (добавлением другого начального числа к каждому массиву);
• после вычисления нового отклонение (отклонение + начальное число) расшифровывается слово;
• все слова соединены (четыре слова используются для генерации домена, четвертое слово – из первого массива, но с другим отклонением);
• добавляется «.com».

«Последняя версия бэкдора крайне интересна, операторы явно много работали над ней. С момента обнаружения мы наблюдали in-the-wild две версии Xagent: одна с каналом и неизвестным модулем, вторая со всеми модулями и каналом, но без неизвестного модуля. Можем предположить, что группа добавила еще один уровень проверки целей – загрузку Xagent с несколькими модулями. Если жертва представляет интерес, она получит другую, полнофункциональную версию бэкдора», — пишут аналитики ESET.

Основываясь на мониторинге деятельности группировки и том факте, что хакеры продолжают совершенствовать свои инструменты, эксперты полагают, что Fancy Bear сохранят высокую активность и в грядущем 2018 году.