‘Hackersgroep Fancy Bear gebruikt achterdeurtje Zebrocy bij aanvallen’

Beveiligingsonderzoekers bij het R&D-centrum van ESET in Montreal hebben ontdekt hoe de bekende hackersgroep Fancy Bear – ook bekend als Sednit, APT28, Sofacy en STRONTIUM – te werk gaat. Volgens de onderzoekers gebruiken de hackers een achterdeurtje genaamd Zebrocy. 

De Advanced Persistent Threat (APT) groep Sednit heeft de afgelopen jaren diverse doelwitten in Europa, Centraal-Azië en het Midden-Oosten aangevallen. Sindsdien hebben ze volgens de onderzoekers meer en diversere componenttools gebruikt.

Het achterdeurtje Zebrocy, dat door de beveiliginsonderzoekers werd onderzocht, heeft bijvoorbeeld meer mogelijkheden gekregen. Zebrocy kan nu ruim dertig verschillende commando’s versturen naar aangetaste computers. Daarnaast kan het grote hoeveelheden informatie over het doelwit verzamelen.

Volgens de onderzoekers van de Slowaakse beveiligingsspecialist rondt Zebrocy zijn werk snel af. Zodra de achterdeur basisinformatie verstuurt over het systeem dat het aan wist te tasten, nemen operators de controle over de achterdeur over. Daarna worden er direct commando’s verstuurd. Daardoor zit er slechts een paar minuten tussen het draaien van de downloader door het slachtoffer en de eerste commando’s van de operator.

Phishing-campagne

Aan het eind van augustus 2018 begon de Sednit-groep een spear phising-campagne waarin het verkortte URL’s verspreidde die first-stage Zebrocy-componenten leverden. Volgens Alexis Dorais-Joncas, Security Intelligence Team Lead bij het ESET R&D-centrum in Montreal, is het echter ongebruikelijk voor de groep om deze techniek te gebruiken.

“Eerder gebruikte het exploits om first-stage malware te leveren en uit te voeren. In deze campagne vertrouwde de groep volledig op social engineering om slachtoffers te verleiden om het eerste deel van de keten te draaien.” ESET heeft zeker twintig kliks op de malafide link gezien, maar het is volgens het bedrijf moeilijk om het totaal aantal slachtoffers te schatten.

“Zonder het e-mailbericht weten we helaas niet of er instructies gegeven worden aan de gebruiker. Ook weten we niet of er verdere social engineering plaatsvindt, of dat het volledig vertrouwd op de nieuwsgierigheid van het slachtoffer”, aldus Dorais-Joncas.

“Het archief bevat twee bestanden. De eerste is een uitvoerbaar bestand, de tweede is een lok-PDF.” De eerste commando’s verzamelen informatie over de computer en de omgeving van het slachtoffer. Andere commando’s worden gebruikt om bestanden van de computers te halen als de operators op de hoogte worden gesteld van de aanwezigheid van interessante bestanden op de machine. “Er is een erg korte tijd waarin de achterdeur op het systeem staat en draait, waardoor het moeilijker wordt om hem te detecteren. Zodra de operators klaar zijn met hun kwade daden, verwijderen ze het snel.”