Sednit Gruppe: Wie Fancy Bear das Jahr verbrachte

Sednit-Gruppe: Wie Fancy Bear das Jahr verbrachte

Die Sednit-Gruppe, auch bekannt als Fancy Bear, setzt Phishing-E-Mails mit großem Erfolg ein, um mit einer Backdoor ins Ziel-System vorzudringen.

Die Sednit-Gruppe, auch bekannt als Fancy Bear, setzt Phishing-E-Mails mit großem Erfolg ein, um mit einer Backdoor ins Ziel-System vorzudringen.

Die Sednit-Gang – auch bekannt als Strontium, APT28, Fancy Bear oder Sofacy – ist eine Gruppe von Angreifern, die seit 2004 – wenn nicht sogar früher – operiert und deren Hauptziel es ist, vertrauliche Informationen von bestimmten Zielen zu stehlen.

Dieser Artikel folgt ESETs Präsentation auf der BlueHat im November 2017. Gegen Ende des Jahres 2016 veröffentlichten wir ein Whitepaper über die Aktivitäten der Sednit-Gruppe im Zeitraum von 2014 bis 2016. Seitdem verfolgten wir die Sednit-Operationen weiterhin aktiv. Heute bieten wir einen kurzen Überblick über das, was unser Tracking zum Vorschein brachte. Außerdem aktualisieren wir die Übersicht über die gebräuchlichsten Tools von Sednit. Der erste Abschnitt behandelt die Aktualisierung ihrer Angriffsmethode. Nämlich die Art und Weise, wie diese Gruppe ihre Ziele versucht zu kompromittieren. Der zweite Abschnitt befasst sich mit der (Weiter-)Entwicklung ihrer Tools, wobei der Schwerpunkt auf der detaillierten Analyse einer neuen Version der Flaggschiff-Malware Xagent liegt.

Die Sednit Malware-Kampagnen

Über die vergangenen Jahre machte die Gang von unterschiedlichsten Techniken Gebrauch, verschiedene Komponenten auf Zielsysteme einzuspielen. Üblicherweise starten ihre Angriffe mit einer Phishing-E-Mail, die einen schädlichen Link oder Anhang enthält. Im Laufe des zurückliegenden Jahres veränderte sich der Angriffsvektor. Griffen die Malware-Angreifer früher gerne auf ihre Sednit Exploit Kit Sedkit zurück, so verschwand es bis Ende des Jahres 2016 fast vollkommen. Seit der Veröffentlichung unseres Whitepapers scheinen ihre Angriffe bevorzugt durch die DealersChoice Exploit Platform initiiert zu werden. Daneben beobachteten wir auch noch andere Methoden, wie Makros in Microsoft Word Dynamic Data Exchange.

Die folgenden drei Abschnitte beschreiben unterschiedliche Methoden, die von Sednit-Operatoren dazu verwendet wurden, um einen Fuß in das System des Ziels zu bekommen. Insgesamt versuchen alle, Seduploader auf das Zielsystem zu bringen. Seduploader ist eine First-Stage-Backdoor, die zunächst die Wichtigkeit des Opfers einschätzt und dann zusätzliche Malware im Zielsystem ablegt. Insofern das Ziel tatsächlich von Interesse ist, können die Sednit-Operatoren Xagent implementieren.

Sedkit (Sednit Exploit Kit)

Die Sednit-Gruppe setzte das Sedkit Exploit Kit exklusiv ein. Über einen gewissen Zeitraum konnten anhaltende Schwachstellen in verschiedenen verwundbaren Anwendungen wirksam ausgenutzt werden. Meistens waren jedoch der Adobe Flash Player und der Internet Explorer betroffen. Als Sedkit das erste Mal entdeckt wurde, leitete man die Opfer mit Hilfe einer Watering Hole Attacke zu einer Zielseite um. Die bevorzugte Angriffsmethode dieser Malware-Kampagne bestand aus dem Versenden von E-Mails mit schädlichem Link. Der Workflow von Sedkit ist nachfolgend dargestellt.

Fancy Bear

Zwischen August und September 2016 beobachteten wir verschiedene E-Mail-Kampagnen, die versuchten, die Empfänger der Phishing-E-Mails auf eine Sedkit-Seite zu locken. Sedkits Ziele waren zu dieser Zeit hauptsächlich Botschaften und politische Parteien in Mitteleuropa. Die nächste Abbildung zeigt eine E-Mail mit einer eingebetteten Schad-URL.

Fancy Bear

Die E-Mail versucht den Empfänger glauben zu lassen, dass der Link zu einer interessanten Nachricht führe. In der obigen E-Mail handelt es sich um ein Erdbeben, das im August 2016 in der Nähe von Rom stattfand. Während der Name der Person aus dem Grußwort Vertrauen erweckt, kann der Empfänger anhand zweier Hinweise trotzdem stutzig und darauf aufmerksam werden, dass die E-Mail gefälscht ist.

Die E-Mail wird zunächst mit einem Rechtschreibfehler eröffnet („Greetigs!“). Rechtschreibfehler sind in bösartigen Sednit-Mails nichts Ungewöhnliches. Der zweite Hinweis verbirgt sich in der URL. Die Domain der URL ist böswillig. Lediglich der Pfad nach der Domain scheint legitim und ist in diesem Fall identisch mit dem Pfad, der zu einem BBC-Beitrag über das Erdbeben führt. Das ist eine häufig verwendete Sednit-Taktik. Zwar gelangen die Opfer, die auf den Link in der E-Mail klicken, letztendlich zur Nachrichtenmeldung. Vorher besuchen sie allerdings ohne es zu merken, die Sedkit Landingpage. Als Köder verwenden die Cyberkriminellen neben der BBC auch die Huffington Post. Die folgende E-Mail offenbart außerdem noch andere Merkwürdigkeiten:

Fancy Bear

Erstens scheinen E-Mail-Betreff und URL nicht miteinander gekoppelt zu sein. Inhaltlich gibt der Betreff zu verstehen, es gehe um Syrien und Aleppo. Im Linkpfad finden sich dann aber Hinweise zu WADA und russischen Hackern. Zweitens sind in der Nachricht zwei gravierende Rechtschreibfehler zu finden – der erste im Wort „Greetigs“ und der zweite in „Unated Nations“. Hoffentlich wird eine Person, die für das „United Nations‘ public relations department“ arbeitet, nicht solche Rechtschreibfehler in ihrer E-Mail-Signatur haben.

Die letzte Malware-Kampagne, in der Sedkit angewandt wurde, beobachteten wir im Oktober 2016. Interessanterweise stellen wir fest, dass das Verschwinden von Sedkit einem Trend folgt, den wir auch bei anderen Exploit-Kits wahrnehmen. Die meisten Exploits haben es auf ältere Versionen von Internet Explorer und / oder Adobe Flash abgesehen, um Drive-by-Downloads durchzuführen. Der Rückgang der meisten Exploit-Kit-Aktivitäten im Jahr 2016 – einschließlich Sednit – könnte durchaus auf die von Microsoft und Adobe durchgeführten Code-Verbesserungen zurückzuführen sein.

Alle Einzelheiten zu Sedkits finden Sie in unserem bereits veröffentlichten Whitepaper.

DealersChoice

Im August 2016 bloggte Palo Alto Networks über eine neue Plattform, die von der Sednit-Gang verwendet wurde, um in ein System zu gelangen. Diese DealersChoice genannte Plattform kann bösartige Dokumente mit eingebetteten Adobe Flash Player-Exploits erzeugen. Es gibt zwei Varianten dieser Plattform. Die erste prüft, welche Flash Player-Version auf dem System installiert ist und wählt dann eine von drei verschiedenen Schwachstellen aus. Die zweite Variante wird zuerst einen C&C-Server kontaktieren, der den ausgewählten Exploit und den endgültigen schädlichen Payload liefert. Natürlich ist die zweite Version viel schwieriger zu analysieren, da das Dokument, das an die Ziele übergeben wird, nicht alle Teile des Puzzles enthält.

Diese Plattform wird noch heute von Sednit benutzt. Wie bei Sedkit enthalten die bösartigen E-Mails internationale Nachrichten mit einem Malware-Dokument im Anhang. Die Nachricht soll das Ziel dazu verleiten, den schädlichen Anhang zu öffnen. Manchmal machen die Sednit-Anhänger auch von nicht politischen Nachrichten Gebrauch. Im Dezember 2016 versendeten sie beispielsweise folgende Nachricht als Köder:

Fancy Bear

Fancy Bear

Diese E-Mail wurde am 22. und 23. Dezember 2016 an mehrere Außenministerien und Botschaften in Europa gesendet und enthielt im Anhang ein Word-Dokument, das wie eine weihnachtliche E-Card aussah. Dieses Mal griff die Sednit-Gruppe also nicht auf geopolitische Nachrichten-Meldungen zurück. Nach dem das Opfer das Word-Dokument öffnet, kommt DealersChoice zum Einsatz, um das Ziel-System zu kompromittieren. Bereits Ende 2016 gebrauchte Sednit DealersChoice sehr intensiv. Danach war die Malware-Plattform zunächst verschwunden. Wir sahen sie erst im Oktober 2017 wieder.

Fancy Bear

Zwar sind wir nicht im Besitz einer spezifischen E-Mail, die hier als Beispiel dienen könnte. Allerdings können wir das „Köder-Dokument“ zeigen. Wir vermuten, dass Sednit es auf Angestellte von Regierungsbehörden absah.

Auch andere Blogs veröffentlichten Beiträge von Sicherheitsforschern, welche DealersChoice Malware-Kampagnen zum Thema machten. Ein erwähnenswertes Beispiel bringt Proofpoint. Sie beschreiben detailliert, wie die DealersChoice Plattform neue Adobe Flash Player Schwachstellen gezielt ausnutzt. Da der Beitrag von Oktober stammt, gehen wir davon aus, dass die Plattform immer noch in Gebrauch ist und auch stetig von Sednit-Anhängern weiterentwickelt wird.

Macros, VBA and DDE

Neben Sedkit und DealersChoice nutzten die Sednit-Betreiber auch andere bewährte Methoden, um Systeme zu kompromittieren, indem sie beispielsweise auf Makros in Microsoft Office-Dokumenten zurückgriffen. Eine Kampagne, die viel Aufmerksamkeit auf sich zog, richtete sich im April 2017 gegen ein osteuropäisches Außenministerium. Die folgende E-Mail wurde an einen Mitarbeiter gesendet:

Fancy Bear

Dieser Anhang nutzte gleich zwei Zero-Day-Schwachstellen (0days) aus: eine lokale Privileg-Eskalation (LPE) und eine Remote-Code-Ausführung (RCE). ESET benachrichtigte Microsoft über beide 0days. Eine detaillierte Analyse der Malware-Kampagne ist in unserem Blogbeitrag zu finden.

Der letzte Fall verdeutlicht hier, inwieweit die Sednit-Operatoren genau auf neue technische Entwicklungen in der Cybersecurity achten. Anfang Oktober 2017 verfassten SensePot Sicherheitsforscher einen Artikel über Microsoft Word Methoden mit dem Namen Dynamic Data Exchange Protocol (DDE).

DDE stellt die Möglichkeit dar, Daten zwischen Anwendungen auszutauschen. Beispielsweise kann eine Word-Tabelle mit Daten aus einer Excel-Tabelle aktualisiert werden. Diese Tatsache ist praktisch, aber im Fall von Word und Excel kann sie auch dazu führen, dass beliebiger Code ausgeführt werden kann, wenn der Benutzer mehrere Warnmeldungen ignoriert.

Nach der Veröffentlichung des Artikels dauerte es nicht lange, Sednit-Kampagnen zu entdecken, die DDE-Code von einem C&C-Server ausführten. McAfee dokumentierte diese Malware-Kampagne und veröffentlichte das scheinbar leere „Köder-Dokument“. Hinter einem ausgeblendeten Feld verbirgt sich allerdings folgender Code:

DDE

 

Öffnet das beabsichtigte Ziel das Schad-Dokument und ignoriert alle Warnmeldungen, wird das obige Skript ausgeführt und die Seduploader Binärdatei vom C&C-Server heruntergeladen und auf dem Ziel-System entpackt.

Das hier ist nur ein kurzer Überblick darüber, wie die Sednit-Betreiber seit der Veröffentlichung unseres Whitepapers versucht haben, neue Opfer zu kompromittieren. Insgesamt sind sie immer noch so aktiv wie vorher und visieren weiterhin Regierungen auf der ganzen Welt an.

Werkzeugbestückung der Sednit-Gruppe

Im vorangegangenen Abschnitt erläuterten wir, welche Kompromittierungswege die Sednit-Operatoren im vergangenen Jahr einsetzten. Der folgende beschreibt, in wie weit die Cyberkriminellen Änderungen an ihren Angriffswerkzeugen vorgenommen haben. Bereits im Jahr 2016 analysierte ESET den Bestand an Tools und veröffentlichte die Ergebnisse hier.

In den vergangenen Jahren entwickelte Sednit viele Komponenten, um Informationen auf Ziel-Systemen abzufangen und zu stehlen. Seitdem sind einige Tools wieder verschwunden, andere hingegen worden weiterentwickelt.

Seduploader

Seduploader dient als Aufklärungsmalware. Sie besteht aus zwei verschiedenen Komponenten: dem Dropper und der persistenten Payload, die durch den Dropper installiert wird. Seduploader wird zwar immer noch von der Sednit-Gruppe verwendet, aber mittlerweile hat die Aufklärungsmalware schon ein paar Verbesserungen erhalten. Während der April-Kampagne 2017 veröffentlichte Sednit eine neue Version von Seduploader mit einigen neuen Funktionen. Dazu zählen die Screenshot-Funktion oder die Möglichkeit, direkt vom C&C-Server in den Speicher geladen werden zu können. Erst vor kurzem ersetzten die Sednit-Operatoren den Dropper durch ein PowerShell-Kommando, welches nun die Seduploader Nutzlast ausbreitet.

Xtunnel

Xtunnel ist ein Netzwerk-Proxy-Tool, das jede Art von Netzwerkverkehr zwischen einem C&C-Server im Internet und einem Ziel-System in einem lokalen Netzwerk umleiten kann. Xtunnel wird immer noch von der Sednit-Gruppe verwendet.

Sedkit

Sedkit ist Sednits Exploit-Kit; Es kommt nur bei zielgerichteten Attacken zum Einsatz. Der Angriff beginnt mit gezielten Versenden von Phishing-E-Mails mit URLs, die legitime URLs versuchen nachzuahmen. Wir wissen, dass Sedkit im Oktober 2016 das letzte Mal zum Einsatz kam.

Sedreco

Sedreco stellt die Spionage-Backdoor dar; Ihre Funktionalitäten können mit dynamisch geladenen Plugins erweitert werden. Es besteht aus zwei verschiedenen Komponenten: einem Dropper und der persistenten Nutzlast, die von dem Dropper installiert wird. Wir haben die Komponenten seit April 2016 allerdings nicht mehr gesehen.

USBStealer

USBStealer dient als Netzwerk Tool; Es extrahiert sensible Informationen aus physisch und logisch entkoppelten Systemen. Allerdings haben wir diese Komponente seit Mitte 2015 nicht mehr gesehen.

Xagent

Xagent ist eine modulare Backdoor mit Spionagefunktionen wie Eingabe-Aufzeichnung und Datei-Exfiltration. Die Hintertür stellt die Flaggschiff Backdoor dar, welche in der Vergangenheit schon in vielen Malware-Kampagnen zum Einsatz kam. Bereits vor Jahren wurden Backdoor-Versionen für Linux und Windows gesehen. Erst im Jahr 2015 erblickte die iOS-Version das Licht der Welt. Ein Jahr später entdeckte man eine Android-Variante und Anfang des Jahres 2017 konnte zum ersten Mal die Xagent Backdoor Variante für OSX beschrieben werden.

Eine neue Windows-Version von Xangent offenbarte sich uns dann letzten Februar. Aufgrund der folgenden Strings, die in den Binärdateien gefunden wurden, folgerten wir, dass es die Version 4 der Backdoor war. Die verschiedenen Versionen der Xagent-Module sind in Tabelle 1 aufgeführt.

Table 1. Xagent Versionierung

module/channel

v3 uid

v4 uid

AgentKernel33034401
WinHttp21114402
ModuleFileSystem21034411
ModuleRemoteKeyLogger21074412
ProcessRetranslatorModule21064413
Unknown [1]??4414

Version 4 von Xagent enthielt neue Techniken zur Verschleierung von Zeichenketten. Alle Informationen zum Laufzeittyp (RTTI) wurden ebenfalls maskiert. Diese Techniken verbessern im Wesentlichen die Art und Weise, in der Strings mit einer für jede Binärdatei einzigartigen Methode verschlüsselt werden. Frühere Versionen von Xagent verwendeten einen XOR-Loop zum Entschlüsseln von Zeichenfolgen. Der neue Verschlüsselungsalgorithmus stellt sich nun als eine Reihe von Operationen mit Werten dar, die wahrscheinlich zur Kompilierungszeit generiert wurden. Die folgende Abbildung zeigt die Komplexität des Codes.

Fancy Bear

Der HexRays-Decompiler leistet jedoch einen ordentlichen Beitrag zur Vereinfachung. Hier ein Beispiel:

Der AgentKernel kann Befehle vom C&C-Server empfangen, um mit Modulen und Kanälen zu interagieren. Einige der zuvor beobachteten C&C-Befehle wurden entfernt und einige andere neu hinzugefügt.

Frühere Versionen unterstützten den Befehl 2, PING_REQUEST. In Version vier wurde es entfernt, aber der Sednit-Operator kann sich immer noch eine Liste von Modulen mit dem detaillierteren Befehl GET_AGENT_INFO ausgeben lassen. Befehle 34, 35 und 36 zeigen Ähnlichkeiten zu SET_PARAMETERS; das ermöglicht die Interaktion mit LocalStorage, dem Kernel-Speicher. Es enthält sowohl dateibasierten Speicher für die Kommunikation mit dem C&C-Server als auch den Microsoft-Registrierungsdatenbankspeicher, um verschiedene Konfigurationsparameter zu speichern.

Ein neues Feature, das im WinHttp-Kanal implementiert ist, ist ein Domain Generation-Algorithmus (DGA) für Fallback-Domains. Der WinHttp-Kanal ist der Kanal, der für die Kommunikation mit dem C&C-Server verantwortlich ist. Anders als der übliche DGA, der seinen Seed aus Pseudozufallszahlen erhält, erhält dieser einen vorgegebenen Seed (wahrscheinlich bei der Kompilierung erzeugt) für ein gegebenes Sample. Die Generierung von Domains geschieht in folgender Art und Weise:

  • Eine Reihe von Operationen werden auf den Seed angewendet
  • Das Ergebnis bestimmt einen Offset für drei verschiedene Arrays (Hinzufügen eines weiteren Seeds für jedes Array)
  • Sobald der neue Offset berechnet ist (Offset + Seed), entschlüsselt er das Wort
  • Alle Wörter werden verkettet (vier Wörter werden verwendet, um die Domäne zu generieren; das vierte Wort stammt aus dem ersten Array, dann mit einem anderen Offset)
  • Das „.com“-Suffix wird hinzugefügt.

Die Entwicklung der Backdoor mit dem Hinzufügen neuer Funktionen und der Kompatibilität mit allen gängigen Plattformen macht Xagent zum Flaggschiff-Hintertürchen der Sednit-Gruppe.

DealersChoice

DealersChoice ist eine Plattform, die bösartige Dokumente mit eingebetteten Adobe Flash-Dateien generiert. Die Forscher des Palo Alto-Netzwerks analysierten zwei Varianten – Variante A: eine eigenständige Variante mit Flash-Exploit-Code, die mit einer Nutzlast verpackt ist, und Variante B: eine modulare Variante, die Exploit-Code nach Bedarf zusätzlich lädt. Diese neue Komponente erschien 2016 und wird von Sednit noch verwendet.

Downdelph

Downdelph ist ein einfacher Downloader, der in der Programmiersprache Delphi geschrieben ist. Wie wir bereits in unserem Whitepaper erwähnten, war Downdelph von November 2013 bis September 2015 aktiv und seitdem nicht mehr gesehen.

Zusammenfassung

Die Sednit-Gruppe ist zweifellos eine noch aktive Gruppe. Den Einstieg in die Ziel-Systeme der Opfer finden sie durch Phishing-E-Mails. Mit dieser Technik scheinen sie großen Erfolg zu haben. Egal welches Betriebssystem – Desktop oder Mobil. Xagent stellt den Kern der Sednit-Gruppe dar. Die neuste Version von Xagent ist sehr interessant und die Sednit-Betreiber haben viel Arbeit in die Entwicklung investiert. Wir haben seit der Entdeckung zwei Instanzen von Xagent in „in freier Wildbahn“ gesehen – eine mit dem Kanal und einem unbekannten Modul – eine mit (fast) allen Modulen und Kanälen, nur ohne das unbekannte Modul. Wir stellen die Hypothese auf, dass die Sednit-Gruppe eine weitere Ebene in der Überprüfung ihrer Ziele hinzugefügt hat, indem sie einen Xagent mit nur wenigen Modulen in das Ziel-System schleust und wenn das Opfer interessant genug ist, wird die andere umfassendere Version von Xagent mit allen Modulen zusätzlich ausgeführt.

IoCs

Table 2. Phishing

Phishing documentSHA-1ESET detection
Bulletin.doc68064fc152e23d56e541714af52651cb4ba81aafWin32/Sednit.AX
f3805382ae2e23ff1147301d131a06e00e4ff75fWin32/Exploit.CVE-2016-4117.A
OC_PSO_2017.doc512bdfe937314ac3f195c462c395feeb36932971Win32/Exploit.Agent.NUB
NASAMS.doc30b3e8c0f3f3cf200daa21c267ffab3cad64e68bWin32/Exploit.Agent.NTR
Programm_Details.doc4173b29a251cd9c1cab135f67cb60acab4ace0c5Win32/Exploit.Agent.NTO
Operation_in_Mosul.rtf12a37cfdd3f3671074dd5b0f354269cec028fb52Win32/Exploit.Agent.NTR
ARM-NATO_ENGLISH_30_NOV_2016.doc15201766bd964b7c405aeb11db81457220c31e46SWF/Agent.L
Olympic-Agenda-2020-20-20-Recommendations.doc8078e411fbe33864dfd8f87ad5105cc1fd26d62eWin32/Exploit.Agent.BL
Merry_Christmas!.docx33447383379ca99083442b852589111296f0c603Win32/Exploit.Agent.NUG
Trump’s_Attack_on_Syria_English.docxd5235d136cfcadbef431eea7253d80bde414db9dWin32/Exploit.Agent.NWZ
Hotel_Reservation_Form.docf293a2bfb728060c54efeeb03c5323893b5c80dfWin32/Sednit.BN
SB_Doc_2017-3_Implementation_of_Key_Taskings_and_Next_Steps.docbb10ed5d59672fbc6178e35d0feac0562513e9f0Win32/Sednit.BN
4873bafe44cff06845faa0ce7c270c4ce3c9f7b9
169c8f3e3d22e192c108bc95164d362ce5437465
cc7607015cd7a1a4452acd3d87adabdd7e005bd7
Win32/Sednit.BN
Caucasian_Eagle_ENG.docx5d2c7d87995cc5b8184baba2c7a1900a48b2f42dWin32/Exploit.Agent.NTM
World War3.docx7aada8bcc0d1ab8ffb1f0fae4757789c6f5546a3SWF/Exploit.CVE-2017-11292.A
SaberGuardian2017.docx68c2809560c7623d2307d8797691abf3eafe319aVBA/DDE.E
IsisAttackInNewYork.docx1c6c700ceebfbe799e115582665105caa03c5c9eVBA/DDE.L

Table 3. Seduploader Samples

SHA-1ESET detectionC&C server
9f6bed7d7f4728490117cbc85819c2e6c494251bWin32/Sednit.AXservicecdp[.]com:87.236.211[.]182
6e167da3c5d887fa2e58da848a2245d11b6c5ad6Win32/Sednit.BGrunvercheck[.]com:185.156.173[.]70 remsupport[.]org:191.101.31[.]96
e338d49c270baf64363879e5eecb8fa6bdde8ad9Win32/Sednit.BGwmdmediacodecs[.]com:95.215.45[.]43
f9fd3f1d8da4ffd6a494228b934549d09e3c59d1Win32/Sednit.BNmvband[.]net:89.45.67[.]144 mvtband[.]net:89.33.246[.]117
476fc1d31722ac26b46154cbf0c631d60268b28aWin32/Sednit.BNviters[.]org:89.187.150[.]44
8a68f26d01372114f660e32ac4c9117e5d0577f1Win32/Sednit.BNmyinvestgroup[.]com:146.185.253[.]132
9c47ca3883196b3a84d67676a804ff50e22b0a9fWin32/Sednit.BRspace-delivery[.]com:86.106.131[.]141
ab354807e687993fbeb1b325eb6e4ab38d428a1eWin32/Sednit.BSsatellitedeluxpanorama[.]com:89.34.111[.]160
4bc722a9b0492a50bd86a1341f02c74c0d773db7Win32/Sednit.BSwebviewres[.]net:185.216.35[.]26

Table 4. Xagent Samples

SHA-1ESET detectionC&C server
6f0fc0ebba3e4c8b26a69cdf519edf8d1aa2f4bbWin64/Sednit.Zmovieultimate[.]com
e19f753e514f6adec8f81bcdefb9117979e69627Win64/Sednit.Zmeteost[.]com
961468ddd3d0fa25beb8210c81ba620f9170ed30Win32/Sednit.BOfaststoragefiles[.]org
a0719b50265505c8432616c0a4e14ed206981e95Win32/Sednit.BOnethostnet[.]com
2cf6436b99d11d9d1e0c488af518e35162ecbc9cWin64/Sednit.Yfaststoragefiles[.]org
fec29b4f4dccc59770c65c128dfe4564d7c13d33Win64/Sednit.Yfsportal[.]net
57d7f3d31c491f8aef4665ca4dd905c3c8a98795Win64/Sednit.Zfastdataexchange[.]org
a3bf5b5cf5a5ef438a198a6f61f7225c0a4a7138Win32/Sednit.BOnewfilmts[.]com
1958e722afd0dba266576922abc98aa505cf5f9aWin32/Sednit.BOnewfilmts[.]com

[1] Wir konnten dieses Modul nicht mit früheren bekannten Modulen abgleichen

Hier können Sie mitdiskutieren