APT28武器大升级

俄罗斯Fancy Bear APT组织已经重构了后门，改进了加密技术，使其变得更加隐蔽，更难以制止。

根据安全公司ESET的专家发表的一份新报告：俄罗斯Fancy Bear APT组织（又名Sednit，APT28，Sofacy，Pawn Storm和Strontium）所进行的操作更为复杂，难以察觉。

该组织最近翻新了其最受欢迎的后门之一Xagent，通过实施新的功能使其更加隐蔽和更难以阻止。同时，他们重新设计了恶意软件的体系结构，因此很难依据识别以前的感染模式进行检测。

X-Agent后门（也称为Sofacy）与APT组织FancyBear的几次间谍活动有关，多年来，专家们观察到X-Agent专门用于威胁Windows，Linux，iOS和Android操作系统。

Bitdefender2017年初的研究人员发现了第一个为了破坏MAC OS系统而开发的X-Agent版本。

Table 1Xagent versioning

module/channel

v3 uid

v4 uid

最新版本的X-Agent后门，实现了混淆字符串和所有运行时类型信息的新技术。

网络间谍们升级了一些用于C＆C的代码，并在WinHttp通道中添加了一个新的域生成算法（DGA）功能，用于快速创建后备C＆C域。

图 解密算法部分

ESET观察到这些工具在加密算法和DGA实现方面的重大改进，使域接管变得更加困难。

FancyBear还实施了内部改进，包括可用于隐藏恶意软件配置数据和受感染系统上的其他数据的新命令。

但他们的攻击链条仍然保持不变，Fancy Bear依然严重依赖“非常巧妙制作的网络钓鱼电子邮件”。

ESET发表的报告称“攻击通常以包含恶意链接或恶意附件的电子邮件开始。不过，我们已经看到了他们在今年使用的方法的转变。过去，Sedkit是他们首选的攻击媒介，但是自2016年年底以来，这类攻击工具已经完全消失。“

该组织已经停止使用Sedkit漏洞利用工具包，并越来越多地开始使用DealersChoice平台，该平台也是该组织针对黑山使用的Flash漏洞利用框架（例如：利用CVE-2017-11292 0-day）。

该组织选择根据目标的配置生成嵌入式Adobe Flash Player漏洞的文档。但Fancy Bear的业务仍然集中在世界各地的政府部门和使馆。

IoCs

Table 2. Phishing

Table 3. Seduploader Samples

Table 4. Xagent Samples

参考

http://securityaffairs.co/wordpress/67029/apt/fancy-bear-apt-backdoor.html

https://www.welivesecurity.com/2017/12/21/sednit-update-fancy-bear-spent-year/

https://download.bitdefender.com/resources/media/materials/white-papers/en/Bitdefender_In-depth_analysis_of_APT28%E2%80%93The_Political_Cyber-Espionage.pdf