Эксперты зафиксировали новые попытки атаковать правительственный орган Азербайджана.
Специалисты компании QuoINT выявили новую вредоносную кампанию с использованием трояна Zebrocy, нацеленную на страны-участницы НАТО.
Впервые о Zebrocy стало известно в 2018 году. Предполагается, что он является инструментом из арсенала нашумевшей киберпреступной группы APT28, также известной под названиями Fancy Bear, Pawn Storm, Sednit и Strontium и активной как минимум с 2007 года. Некоторые эксперты считают операторов Zebrocy отдельной группировкой, однако есть немало свидетельств связи между Zebrocy и другими вредоносными кампаниями, например, с GreyEnergy.
В новой кампании Zebrocy, начавшейся 5 августа нынешнего года, используется вариант трояна, написанный на Delphi, и с C&C-инфраструктурой, расположенной во Франции.
Троян распространяется через поддельные JPEG-изображения, которые на самом деле представляют собой ZIP-архив. Файл загружает на атакуемую систему исполняемый файл Zebrocy и поврежденный файл Excel с целью обманом заставить жертву выполнить вредоносную программу.
После выполнения вредонос создает запланированную задачу по регулярной отправке похищенных данных на удаленный домен. Если на C&C-сервер не отправляется ничего интересного, он отключает соединение с зараженным хостом.
Для того чтобы убедить жертву выполнить вредоносное ПО, злоумышленники используют тему НАТО. Данная тема часто используется в кампаниях APT28 (в частности, она использовалась в атаках 2017 года). Предполагаемой жертвой в новой кампании был конкретный правительственный орган в Азербайджане, но другие члены НАТО или страны, участвующие в учениях альянса, также могли стать мишенью.
Как отмечают исследователи, новая кампания APT28 очень похожа на обнаруженную в прошлом месяце кампанию ReconHellcat /BlackWater. Архив с Zebrocy и приманка для атаки BlackWater были загружены 5 августа одним и тем же пользователем в Азербайджане (весьма вероятно, одной и той же организацией); обе атаки произошли одновременно.
Источник: securitylab