详细内容或原文请订阅后点击阅览

Sednit 重装上阵:重回战壕

2026年3月10日 09:58 33 Comments
X Twitter Instagram Mail

俄罗斯最臭名昭著的 APT 组织之一的死灰复燃

来源:WeLiveSecurity _恶意软件

自 2024 年 4 月以来,Sednit 的高级开发团队重新出现了一个现代工具包,该工具包以两个配对植入程序 BeardShell 和 Covenant 为中心,每个植入程序使用不同的云提供商来实现弹性。这种双植入方法能够对乌克兰军事人员进行长期监视。有趣的是,这些当前的工具集显示了该组织 2010 时代植入程序的直接代码沿袭。

这篇博文的要点:

  • ESET 研究人员将 Sednit 高级植入团队的重新激活追溯到 2024 年乌克兰的一个案例,其中部署了名为 SlimAgent 的键盘记录器。
  • SlimAgent 代码源自 Xagent,它是 Sednit 2010 年代的旗舰后门。
  • 在那次手术中,部署了 Sednit 开发的第二个植入物 BeardShell。它通过用作其 C&C 通道的合法云提供商执行 PowerShell 命令。
  • BeardShell 使用了一种独特的混淆技术,这种技术也出现在 Xtunnel 中,Xtunnel 是 2010 年代 Sednit 的网络枢转工具。
  • 在 2025 年和 2026 年期间,Sednit 多次将 BeardShell 与其现代工具包的第三个主要部分 Covenant 一起部署。
  • Sednit 对这个开源植入程序进行了大量改造,以支持长期间谍活动并基于另一个合法云提供商实施新的网络协议。

    • Sednit 配置文件

    Sednit 组织(也称为 APT28、Fancy Bear、Forest Blizzard 或 Sofacy)至少从 2004 年开始运作。美国司法部在 2016 年美国大选之前将该组织列为对民主党全国委员会 (DNC) 黑客事件负责的组织之一,并将该组织与 GRU(俄罗斯联邦情报机构,隶属于俄罗斯军方主要情报局)的第 26165 部门联系起来。该组织还被认为是黑客入侵全球电视网络 TV5Monde、世界反兴奋剂机构 (WADA) 电子邮件泄露以及许多其他事件的幕后黑手。

    Sednit 的高级种植团队怎么样了?

    精品开发者商店

    SlimAgent

    祖先

    臭名昭著的血统

    BeardShell

    过去的数学爆炸

    IoC

    提供商 组织 工具包 委员会 网络 程序 情报机构 事件 BeardShell 隶属于 植入 过去的 全球电视 2010 军事人员 不同的 研究人员 美国 独特的 记录器 配置文件 间谍活动 黑客 电子邮件 乌克兰 当前的 进行 2024 电视网 SlimAgent 司法部 Sednit