您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
服务热线
400-1000-221
在线咨询
点击联系客服
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。

  安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制:

  X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。

  最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。

  虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。

ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。

  截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。