Fancy Bear учит новые языки

APT-группа Fancy Bear (также известна как APT28, Sednit, Sofacy и Strontium) обновила свой арсенал, добавив в него несколько инструментов. В частности, злоумышленники стали использовать новый загрузчик на языке Nim, обновили загрузчик на Golang и переписали основной бэкдор с Delphi на Golang.

По данным ESET, новая операция Fancy Bear проводилась в августе нынешнего года. Как и раньше, ее жертвами стали министерства иностранных дел и посольства по всей Европе и Азии. Злоумышленники рассылали жертвам фишинговые письма с вредоносным вложением.

Письма содержали пустой документ Word, переадресовывавший жертву на шаблон wordData.dotm, хранящийся в сервисе Dropbox. В шаблон были встроены вредоносные макросы, выполнявшие файл lmss.exe – новый загрузчик для трояна Zebrocy, написанный на Nim. Документ также содержал неактивный исполняемый файл AutoIt, ранее также использовавшийся как загрузчик. По мнению исследователей, злоумышленники просто забыли его удалить.

В общей сложности в ходе атаки установке финального бэкдора предшествовала установка шести различных вредоносных модулей. Эти модули пересылали на C&C-серверы данные о системе и другую информацию, делали скриншоты каждые 35 секунд в течение первых нескольких минут после заражения и получали от C&C-сервера команды и дополнительную полезную нагрузку.

По словам исследователей, бэкдор на Golang использовался во вредоносной кампании впервые. У него отсутствуют какие-либо персистентные элементы, разве что злоумышленники могут установить его вручную, запланировав задачу в Windows\Software\OSDebug. Однако вредонос способен создавать, модифицировать и удалять файлы, перечислять жесткие диски, делать снимки экрана и выполнять команды через cmd.exe.