Полгода в гостях у военных. Хакеры Sednit ставят рекорды по скрытности
NewsMakerСтарые приёмы сработали лучше новых хитростей.
Группа Sednit, известная по ряду громких кибершпионских операций прошлых лет, снова активно применяет сложные инструменты для слежки. Анализ новой кампании показал, что команда разработчиков вредоносных программ вернулась к созданию продвинутых инструментов и использует обновлённый набор средств для длительного наблюдения за иностранными военными структурами.
Специалисты компании ESET зафиксировали повторную активность Sednit с апреля 2024 года. В одной из атак на ближневосточные государственные системы обнаружили шпионский модуль SlimAgent. Программа регистрирует нажатия клавиш, делает снимки экрана и собирает данные из буфера обмена. Анализ кода показал прямую связь с инструментом Xagent — ключевым бэкдором Sednit, активно применявшимся в 2010-е годы.
Телеметрия ESET выявила похожие образцы вредоносного кода, использовавшиеся ещё в 2018 году против государственных структур в двух европейских странах. SlimAgent сохранил почти идентичную логику сбора данных и структуру работы, хотя получил новые функции, включая шифрование журналов. По мнению аналитиков, все версии созданны на основе одной кодовой базы, происходящей от модуля регистрации клавиатурного ввода Xagent.
В той же атаке 2024 года специалисты обнаружили ещё один инструмент — BeardShell. Программа выполняет команды PowerShell и использует облачное хранилище Icedrive как канал управления. Разработчики внедрили механизм, который имитирует запросы официального клиента сервиса. При изменении внутреннего интерфейса Icedrive обновления вредоносной программы появлялись в течение нескольких часов, что указывает на активную работу команды разработчиков.
Группа Sednit, известная по ряду громких кибершпионских операций прошлых лет, снова активно применяет сложные инструменты для слежки. Анализ новой кампании показал, что команда разработчиков вредоносных программ вернулась к созданию продвинутых инструментов и использует обновлённый набор средств для длительного наблюдения за иностранными военными структурами.
Специалисты компании ESET зафиксировали повторную активность Sednit с апреля 2024 года. В одной из атак на ближневосточные государственные системы обнаружили шпионский модуль SlimAgent. Программа регистрирует нажатия клавиш, делает снимки экрана и собирает данные из буфера обмена. Анализ кода показал прямую связь с инструментом Xagent — ключевым бэкдором Sednit, активно применявшимся в 2010-е годы.
Телеметрия ESET выявила похожие образцы вредоносного кода, использовавшиеся ещё в 2018 году против государственных структур в двух европейских странах. SlimAgent сохранил почти идентичную логику сбора данных и структуру работы, хотя получил новые функции, включая шифрование журналов. По мнению аналитиков, все версии созданны на основе одной кодовой базы, происходящей от модуля регистрации клавиатурного ввода Xagent.
В той же атаке 2024 года специалисты обнаружили ещё один инструмент — BeardShell. Программа выполняет команды PowerShell и использует облачное хранилище Icedrive как канал управления. Разработчики внедрили механизм, который имитирует запросы официального клиента сервиса. При изменении внутреннего интерфейса Icedrive обновления вредоносной программы появлялись в течение нескольких часов, что указывает на активную работу команды разработчиков.