俄羅斯 “ 奇幻熊 ”（Fancy Bear，又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium）APT 組織于近期重構(gòu)后門(mén) X-Agent，通過(guò)改進(jìn)其加密技術(shù)，使后門(mén)更加隱蔽和難以制止。據(jù)悉， X-Agent 后門(mén)（也稱(chēng)為 Sofacy ）與 “ 奇幻熊 ” 的幾次間諜活動(dòng)都有關(guān)系。

  安全公司 ESET 發(fā)表的報(bào)告顯示，“ 奇幻熊 ” 目前對(duì) X-Agent 所進(jìn)行的操作較為復(fù)雜。其開(kāi)發(fā)人員對(duì)其實(shí)施新的功能 ，并且重新設(shè)計(jì)了惡意軟件的體系結(jié)構(gòu)，使 X-Agent 更加難以檢測(cè)和控制：

  X-Agent 曾特別設(shè)計(jì)用于針對(duì) Windows、Linux、iOS 和 Android 操作系統(tǒng) ，研究人員于今年初發(fā)現(xiàn)了 X-Agent 用于破壞 MAC OS 系統(tǒng)的第一個(gè)版本。

  最新版 X-Agent 后門(mén)實(shí)現(xiàn)了混淆字符串和所有運(yùn)行時(shí)類(lèi)型信息的新技術(shù)、升級(jí)了一些用于 C&C 服務(wù)器的代碼，并在 WinHttp 通道中添加了一個(gè)新的域生成算法 ( DGA ) 功能，用于快速創(chuàng)建回滾 C&C 域。此外，加密算法和 DGA 實(shí)現(xiàn)方面也存在重大改進(jìn)，使得域名接管變得更加困難。ESET 觀察到 “ 奇幻熊 ” 還實(shí)現(xiàn)了內(nèi)部改進(jìn)，包括可以用于隱藏受感染系統(tǒng)的惡意軟件配置數(shù)據(jù)和其他數(shù)據(jù)的新命令。

  雖然 “ 奇幻熊 ” 對(duì) X-Agent 后門(mén)進(jìn)行了諸多改進(jìn)，但攻擊鏈條基本保持不變。該組織依然依賴(lài)于網(wǎng)絡(luò)釣魚(yú)電子郵件進(jìn)行網(wǎng)絡(luò)攻擊。

ESET 發(fā)表的報(bào)告稱(chēng)攻擊通常以包含惡意鏈接或惡意附件的電子郵件開(kāi)始。過(guò)去，Sedkit 漏洞利用工具包是他們首選的攻擊媒介，但是自 2016 年年底以來(lái)，這類(lèi)工具已經(jīng)完全消失。目前 “ 奇幻熊 ” 越來(lái)越多地開(kāi)始使用 DealersChoice 平臺(tái)，該平臺(tái)也是此前針對(duì)黑山共和國(guó)使用過(guò)的 Flash 漏洞利用框架（例如：利用 CVE-2017-11292 0-day ），可按需求生成嵌入式 Adobe Flash Player 漏洞文檔。

  截止目前，黑客組織“ 奇幻熊 ” 主要攻擊目標(biāo)仍然是世界各地的政府部門(mén)和使館。