Новый анализ деятельности русскоязычной APT-группировки Sofacy, уже почти десять лет атакующей правительственные и военные организации, показал, что киберпреступники активизировали усилия этим летом, нацелившись на ряд стран НАТО и Украину.

Исследователи «Лаборатории Касперского» выпустили обновленную информацию по Sofacy, также известной как APT28, Fancy Bear и Sednit. Отчет демонстрирует, что данная APT-группа ныне использует целый ворох свежих уязвимостей нулевого дня в Office, Java, Adobe и Windows. Новые 0-day-уязвимости были замечены в целевых атаках на протяжении последнего месяца.

Исследователям «Лаборатории» удалось идентифицировать используемое преступниками вредоносное ПО, а также выявить различные методы быстрой адаптации арсенала злоумышленников, помогающие уберечь зловредов от обнаружения. На скомпрометированных компьютерах используются различные бэкдоры, и при раскрытии одного его место занимает другой.

Корни Sofacy уходят в 2007 год, полагают эксперты «Лаборатории Касперского». Название текущей кампании пошло от зловреда, использовавшегося в атаках четыре года назад и похожего на оружие APT-группировки Miniduke, занимавшейся шпионажем против некоторых европейских стран и раскрытой «Лабораторией Касперского» в 2013 году.

Возможности Sofacy значительно выросли с 2013 года, когда был открыт целый ряд новых бэкдоров и зловредов, включая CORESHELL, JHUHUGIT и AZZY.

Этим летом AZZY слегка эволюционировал и уже в октябре использовался в атаках в комплекте с USB-зловредом, поражающим не подключенные к Интернету машины.

В июле исследователи iSight Partners доложили, что группировка Sofacy, или Tsar Team (группа «Царь»), как зовут ее в iSight, внедрила уже шестой за четыре месяца эксплойт к 0-day-уязвимости. Два бага из шести, в Office и Java, были исправлены за несколько дней того же месяца.

«Обычно, когда кто-то публикует исследование деятельности кибершпионской APT-группировки, преступники сразу реагируют: они либо приостанавливают деятельность, чтобы залечь на дно, либо резко меняют тактику и стратегию. Но с Sofacy дело обстоит по-другому. Мы уже несколько лет наблюдаем их атаки, а отчеты об их активности регулярно публикуются различными компаниями», — отметил Костен Раю (Costin Raiu), директор аналитического центра Global Research and Analysis Team «Лаборатории Касперского».

Пять из шести обнаруженных 0-day-уязвимостей, по словам специалистов iSight, были обнаружены хакерами APT28 самостоятельно, шестая же, CVE-2015-5119, представляет собой переработанную 0-day во Flash, которая сразу начала использоваться в атаках спустя всего сутки после утечки в Hacking Team. Учитывая высокую стоимость подобных уязвимостей на теневом рынке, это совершенно нехарактерное для APT-групп поведение, даже если предположить, что она спонсируется государством.

Со слов «лаборантов», данную группу выдал JHUHUGIT, чаще всего используемый в атаках после эксплойта Flash или Java.

Обновленный троянец AZZY был замечен в одной из августовских атак против высокопоставленных целей (одной из них был подрядчик оборонной отрасли). Первый сэмпл был обнаружен 29 июля, после чего его сигнатуры были добавлены в антивирусные базы, а к 4 августа объявился еще один сэмпл itw. Это привело исследователей к выводу, что AZZY не был доставлен через уязвимость нулевого дня: он был доставлен и установлен другой вредоносной программой, уже обосновавшейся в целевой системе. Ею оказался дроппер msdeltemp.dll, управляемый через бэкдор, позволяющий удаленно управлять инфицированной машиной.

«Такая модификация кода — существенное отличие от типичных бэкдоров AZZY: функции коммуникации с C&C-инфраструктурой в этом случае реализованы во внешнем DLL-файле, — отметили в «Лаборатории Касперского». — В прошлом разработчики Sofacy уже модифицировали код AZZY, с тем чтобы прописать C&C-сервер в ключах реестра, а не в коде самого зловреда, так что новая находка хакеров вполне согласуется с этим подходом».

Кроме похищения информации с зараженных компьютеров Sofacy также способен красть данные с компьютеров, не подключенных к Интернету, при помощи модуля USBSTEALER.

Поведение группировки к целом напоминает поведение другой APT-команды — Equation, одной из самых сложных для анализа кибершпионских группировок, вложившей невероятное количество ресурсов в разработку более 100 сэмплов зловредов. Притом каждый из них имел определенную цель и использовался против отдельных высокопоставленных целей.

«В 2015 году Sofacy заметно активизировалась, эксплуатируя не менее пяти 0-day-уязвимостей, что делает ее одной из самых результативных, оперативных и динамичных APT-групп на глобальной арене, — сказал Раю. — Нет причин сомневаться в том, что атаки продолжатся».

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры