Руткит Lojax используется Fancy Bear дольше, чем считалось ранее
Вредонос используется APT-группой как минимум с 2016 года.
Руткит Lojax из арсенала APT-группы Fancy Bear отнюдь не является одноразовым инструментом и использовался в атаках задолго до того, как о нем стало известно широкой общественности. К такому выводу пришли специалисты команды Netscout ASERT по результатам глубокого анализа не только самого вредоноса, но и его C&C-инфраструктуры и соответствующих доменов. Обнаруженный в мае прошлого года руткит Lojax представляет собой модифицированную версию легитимного ПО LoJack, предназначенного для отслеживания украденной электроники и угнанных автомобилей. Злоумышленники заменили некоторые компоненты LoJack вредоносными, в результате чего инструмент работает на уровне системы и не детектируется традиционными антивирусами.
Проанализировав домены, связанные с Fancy Bear и Lojax, исследователи пришли к выводу, что руткит использовался еще в 2016 году – за два года до того, как о нем впервые рассказали ИБ-эксперты. Кроме того, не похоже, чтобы он использовался лишь в какой-то одной кампании. Хотя к зиме число C&C-серверов Lojax сократилось с семи до двух, у Fancy Bear в запасе есть дополнительные серверы и IP-адреса, готовые к использованию в любой момент.
Как показывает отчет Netscout ASERT, Lojax не является новоиспеченным инструментом, созданным специально для использования в одной конкретной кампании, как считалось раньше. Инструмент используется уже давно и имеет довольно крепкую инфраструктуру, что является весьма неутешительной новостью.
