ESET kenksmingų programų tyrėjai nustatė „Sednit“ platinamus sukčiavimo el. laiškus, kurių turiniui panaudota plačiai žiniasklaidoje nušviesta JAV raketų ataka Sirijoje. Aukos buvo viliojamos atidaryti laiškuose prisegtus dokumentus, pavadintus „Trump’s_Attack_on_Syria_English.docx“, po kuriais slėpėsi jau žinomas šnipinėjimo įrankis „Seduploader“.
Šiam įrankiui įterpti „Sednit“ grupė kenksmingame dokumente išnaudojo du „nulinės dienos“ pažeidžiamumus. Pirmasis naudotas nuotolinio kodo pažeidžiamumui „Microsoft Word“, o antrasis – privilegijos eskalavimui „Windows“. ESET pranešė apie šiuos pažeidžiamumus „Microsoft“, kuri juos ištaisė su gegužės 9 d. išleistais saugumo naujinimais.
„Panašu, kad „Sednit“ grupė dar nenutraukia savo veiklos. Nors programišiai ir pasitelkia jau žinomus atakos metodus ir naudoja tą patį kodą, nustatėme kelis patobulinimus, atliktus „Seduploader“ per pastaruosius kelis mėnesius“, – komentuoja ESET saugumo žvalgybos komandos vadovas Alexis Dorais-Joncas.
Šnipinėjimo grupė „Sednit“, dar žinoma „APT28“, „Fancy Bear“ ir „Sofacy“ pavadinimais, savo veiklą vykdo maždaug nuo 2004 m. Pagrindinis programišių tikslas – vogti konfidencialią informaciją iš specifinių, kruopščiai atrinktų taikinių.