俄羅斯 “ 奇幻熊 ”（Fancy Bear，又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium）APT 組織于近期重構后門 X-Agent，通過改進其加密技術，使后門更加隱蔽和難以制止。據(jù)悉， X-Agent 后門（也稱為 Sofacy ）與 “ 奇幻熊 ” 的幾次間諜活動都有關系。

  安全公司 ESET 發(fā)表的報告顯示，“ 奇幻熊 ” 目前對 X-Agent 所進行的操作較為復雜。其開發(fā)人員對其實施新的功能 ，并且重新設計了惡意軟件的體系結構，使 X-Agent 更加難以檢測和控制：

  X-Agent 曾特別設計用于針對 Windows、Linux、iOS 和 Android 操作系統(tǒng) ，研究人員于今年初發(fā)現(xiàn)了 X-Agent 用于破壞 MAC OS 系統(tǒng)的第一個版本。

  最新版 X-Agent 后門實現(xiàn)了混淆字符串和所有運行時類型信息的新技術、升級了一些用于 C&C 服務器的代碼，并在 WinHttp 通道中添加了一個新的域生成算法 ( DGA ) 功能，用于快速創(chuàng)建回滾 C&C 域。此外，加密算法和 DGA 實現(xiàn)方面也存在重大改進，使得域名接管變得更加困難。ESET 觀察到 “ 奇幻熊 ” 還實現(xiàn)了內(nèi)部改進，包括可以用于隱藏受感染系統(tǒng)的惡意軟件配置數(shù)據(jù)和其他數(shù)據(jù)的新命令。

  雖然 “ 奇幻熊 ” 對 X-Agent 后門進行了諸多改進，但攻擊鏈條基本保持不變。該組織依然依賴于網(wǎng)絡釣魚電子郵件進行網(wǎng)絡攻擊。

ESET 發(fā)表的報告稱攻擊通常以包含惡意鏈接或惡意附件的電子郵件開始。過去，Sedkit 漏洞利用工具包是他們首選的攻擊媒介，但是自 2016 年年底以來，這類工具已經(jīng)完全消失。目前 “ 奇幻熊 ” 越來越多地開始使用 DealersChoice 平臺，該平臺也是此前針對黑山共和國使用過的 Flash 漏洞利用框架（例如：利用 CVE-2017-11292 0-day ），可按需求生成嵌入式 Adobe Flash Player 漏洞文檔。

  截止目前，黑客組織“ 奇幻熊 ” 主要攻擊目標仍然是世界各地的政府部門和使館。