俄羅斯 “ 奇幻熊 ”（Fancy Bear，又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium）APT 組織于近期重構(gòu)后門 X-Agent，通過改進(jìn)其加密技術(shù)，使后門更加隱蔽和難以制止。據(jù)悉， X-Agent 后門（也稱為 Sofacy ）與 “ 奇幻熊 ” 的幾次間諜活動都有關(guān)系。

  安全公司 ESET 發(fā)表的報(bào)告顯示，“ 奇幻熊 ” 目前對 X-Agent 所進(jìn)行的操作較為復(fù)雜。其開發(fā)人員對其實(shí)施新的功能 ，并且重新設(shè)計(jì)了惡意軟件的體系結(jié)構(gòu)，使 X-Agent 更加難以檢測和控制：

  X-Agent 曾特別設(shè)計(jì)用于針對 Windows、Linux、iOS 和 Android 操作系統(tǒng) ，研究人員于今年初發(fā)現(xiàn)了 X-Agent 用于破壞 MAC OS 系統(tǒng)的第一個(gè)版本。

  最新版 X-Agent 后門實(shí)現(xiàn)了混淆字符串和所有運(yùn)行時(shí)類型信息的新技術(shù)、升級了一些用于 C&C 服務(wù)器的代碼，并在 WinHttp 通道中添加了一個(gè)新的域生成算法 ( DGA ) 功能，用于快速創(chuàng)建回滾 C&C 域。此外，加密算法和 DGA 實(shí)現(xiàn)方面也存在重大改進(jìn)，使得域名接管變得更加困難。ESET 觀察到 “ 奇幻熊 ” 還實(shí)現(xiàn)了內(nèi)部改進(jìn)，包括可以用于隱藏受感染系統(tǒng)的惡意軟件配置數(shù)據(jù)和其他數(shù)據(jù)的新命令。

  雖然 “ 奇幻熊 ” 對 X-Agent 后門進(jìn)行了諸多改進(jìn)，但攻擊鏈條基本保持不變。該組織依然依賴于網(wǎng)絡(luò)釣魚電子郵件進(jìn)行網(wǎng)絡(luò)攻擊。

ESET 發(fā)表的報(bào)告稱攻擊通常以包含惡意鏈接或惡意附件的電子郵件開始。過去，Sedkit 漏洞利用工具包是他們首選的攻擊媒介，但是自 2016 年年底以來，這類工具已經(jīng)完全消失。目前 “ 奇幻熊 ” 越來越多地開始使用 DealersChoice 平臺，該平臺也是此前針對黑山共和國使用過的 Flash 漏洞利用框架（例如：利用 CVE-2017-11292 0-day ），可按需求生成嵌入式 Adobe Flash Player 漏洞文檔。

  截止目前，黑客組織“ 奇幻熊 ” 主要攻擊目標(biāo)仍然是世界各地的政府部門和使館。