ESET kenksmingų programų tyrėjai nustatė „Sednit“ platinamus sukčiavimo el. laiškus, kurių turiniui panaudota plačiai žiniasklaidoje nušviesta JAV raketų ataka Sirijoje. Aukos buvo viliojamos atidaryti laiškuose prisegtus dokumentus, pavadintus „Trump’s_Attack_on_Syria_English.docx“, po kuriais slėpėsi jau žinomas šnipinėjimo įrankis „Seduploader“.
Šiam įrankiui įterpti „Sednit“ grupė kenksmingame dokumente naudojo du „nulinės dienos“ (angl. „zero day“ arba „0-day“) pažeidžiamumus išnaudojančius „exploit’us“. Pirmasis, CVE-2017-0261, naudotas nuotolinio kodo pažeidžiamumui „Microsoft Word“, antrasis, CVE-2017-0263 – privilegijos eskalavimui „Windows“. ESET pranešė apie šiuos pažeidžiamumus „Microsoft“, kuri juos ištaisė su gegužės 9 d. išleistais saugumo naujinimais.
„Panašu, kad Sednit“ grupė dar nenutraukia savo veiklos. Nors programišiai ir pasitelkia jau žinomus atakos metodus ir naudoja tą patį kodą, nustatėme kelis patobulinimus, atliktus „Seduploader“ per pastaruosius kelis mėnesius“, – komentuoja ESET saugumo žvalgybos komandos vadovas Alexis Dorais-Joncas.
Su Rusijos valstybinėmis organizacijomis siejama šnipinėjimo grupė „Sednit“, dar žinoma „APT28“, „Fancy Bear“ ir „Sofacy“ pavadinimais, savo veiklą vykdo maždaug nuo 2004 m. Pagrindinis programišių tikslas – vogti konfidencialią informaciją iš specifinių, kruopščiai atrinktų taikinių.
Su išsamia naujausios „Sednit“ atakos analize galima susipažinti Welivesecurity.com svetainėje. Pačios šnipų grupx`uotės veikla išanalizuota dar praėjusių metų spalį, tyrimo apžvalgą rasite čia.