标签: Fancy Bear

X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

HackerNews.cc 24 日消息,俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制: X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读: ESET 发布的关于 APT28 的详细分析报告:<Sednit update: How Fancy Bear Spent the Year> 消息来源:Security Affairs、ESET,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软以全新方式对付俄罗斯黑客 Fancy Bear

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起,被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来,Fancy Bear 一直在进行网络间谍活动,入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示,Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动,是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而,微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件,将 Fancy Bear 带入法庭,没收属于 Fancy Bear 的几十个域名。 目前,微软已经设法获得了 70 个原本属于 Fancy Bear 的域名,这些域名曾经用来制造恶意行为,例如在电脑上注入恶意软件,并将虚假信息扩散到社交媒体网站。此外,被微软控制的域名,允许微软在其上设置拦截点,因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站,现在微软成为中间人,使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源:cnBeta;封面源自网络

俄黑客通过安卓恶意软件成功入侵乌克兰军事系统

据外媒报道,近日安全公司  CrowdStrike 发布研究报告称,俄罗斯黑客组织“梦幻熊”(Fancy Bear)通过安卓恶意软件成功入侵乌克兰炮兵部队的军事系统。 报告显示,恶意软件在 2014 – 2016 年间被用来跟踪乌克兰部队,如追踪苏联制造 D-30 榴弹炮单位,已有证据表明恶意软件已将乌克兰东部炮兵部队的地理信息等数据发送至俄罗斯军队。 被感染恶意软件的应用原本由乌克兰炮兵军官 Yaroslav Sherstuk 开发,能将火炮武器瞄准时间从数分钟缩短到 15 秒以内。 “奇幻熊”将恶意程序放置于乌克兰军事论坛中,成功感染多名乌克兰炮兵部队工作人员手机。统计结果显示,目前至少 9000 台安卓设备感染了含恶意软件的安卓应用。 稿源:本站翻译整理,封面:百度搜索