Sednit集団は、過去数年間の一連の高名なサイバースパイ活動侵攻で知られており、再び浮上し、洗練された秘密の手段を展開しています。この新興キャンペーンの法医学的精査により、マルウェア開発の先駆者たちが自らのルーツに立ち戻り、外国の軍事インフラストラクチャーの長期的な監視のために設計された高度なツールセットを作成したことが明らかになりました。
ESETのセキュリティスペシャリストは、2024年4月に始まったSednit活動の再興を記録しています。中東の政府機関を標的とした攻撃で、調査官たちはSlimAgentと名付けられたスパイモジュールを発見しました。このプログラムはキーストロークを詳細に記録し、ディスプレイの視覚的スナップショットを取得し、クリップボードバッファを盗みます。コード分析は、2010年代を通じて彼らの作戦の基礎となった重要なSednit バックドアであるXagentへの直系の血統を示唆しています。
ESETテレメトリは、2018年現在2つのヨーロッパ諸国の国家機関に対して使用されたアナログマルウェアサンプルを特定しています。SlimAgentはその前身とほぼ同じデータ収集ロジックと動作構造を保持していますが、ログ暗号化などの新たな機能が強化されています。アナリストは、これらのイテレーションがXagentキーロギングモジュールから派生した単一の統一されたコードベースから生じると推測しています。
同じ2024年の侵攻の中で、スペシャリストはBeardShellと指定された補助ツールを特定しました。このソフトウェアはPowerShellコマンドを実行し、Icdrive クラウドストレージプラットフォームをコマンド&コントロール(C2)導管として利用しています。開発者は公式のIcedriveクライアントのリクエストを非常に正確に模倣するメカニズムを実装しており、サービスプロバイダーによるインターフェース変更からわずか数時間以内にアップデートが配信されていることから、非常に注意深く俊敏な開発チームを示唆しています。
BeardShellのコードには、2010年代中盤のSednit ネットワークモジュールであるXtunnelで以前に観察された稀な計算マスカレード技術が含まれています。このアルゴリズムと構造的特徴の収束は、これらの新興ツールと確立された開発集団との間のリンクをさらに強固にします。
2025年以降、Sednit はほぼ常にBeardShellをオープンソースのポスト・エクスプロイテーションフレームワークであるCovenantの変更版と一緒に展開しています。開発者はCovenantを長期的なスパイ活動のために根本的に再設計しました。たとえば、マシン識別メカニズムをシステムの再起動の際にも感染したホストの永続的な識別子を確保するために改修しました。
さらに、先駆者は多様なクラウドサービスを通じて侵害されたシステムの統治を促進する新しいネットワークプロトコルを統合し、pCloudからKoofrへシフトし、最終的に2025年中盤にFilenへシフトしました。この回復力のあるインフラストラクチャは、部分的なサーバ遮断の中でも、ターゲットシステムに対する継続的な支配を確保します。
アナリストは、Sednit が同時に2つの異なるマルウェアコンポーネントを頻繁に展開していることを観察しています。この冗長アーキテクチャにより、プライマリC2チャネルが利用不可になった場合の迅速なアクセス復元が容易になります。いくつかの事例では、侵害されたアーキテクチャの監視は6ヶ月以上継続していました。
少なくとも2004年から活動しており、APT28、Fancy Bear、Forest Blizzard、またはSofacyとしても知られるSednit は、2016年の米国民主党全国委員会の侵害、フランスの放送局TV5Mondeの破壊、および世界アンチ・ドーピング機関のテレメトリーの侵害を含む伝説的な作戦を実行してきました。
この最新レポートは、Sednit開発チームが再び積極的に複雑なサイバースパイ活動ツールを設計していることを強調しています。レガシーコード要素と新しいメカニズムの統合は、グループ内の継続性を確認し、継続的なインテリジェンス収集作戦のための強大な技術能力を示しています。
