ГлавнаябезопасностьРоссийские хакеры атакуют организации с помощью фальшивых файлов тренировок НАТО!

Российские хакеры атакуют организации с помощью фальшивых файлов тренировок НАТО!

Русские хакеры из группы, известной по именам APT28, Fancy Bear, Sofacy, Sednit и STRONTIUM, стоят за серией атак, направленных на организации. Российские хакеры передают трудно обнаруживаемую часть вредоносного ПО Zebrocy Delphi, которое было представлено потенциальным жертвам в качестве учебных материалов НАТО. Исследователи, просматривая файлы, содержащие полезную нагрузку, обнаружили эти поддельные и вводящие в заблуждение файлы JPG, которые отображают изображения НАТО при открытии на компьютере.

В августе прошлого года команда Qi'anxin Red Raindrops сообщила, что они обнаружили кампания организованный российскими хакерами APT28, который доставлял вредоносное ПО Zebrocy в виде учебных материалов НАТО.

Русские хакеры против НАТО

Стоит отметить, что разведка угроз компании QuoIntelligence уведомил организации об этой кампании с 8 августа, прежде чем информация о ней была обнародована. Ее исследователи QuoIntelligence сообщил BleepingComputer, что кампания нацелена на страны-члены НАТО, а также на Азербайджан. По словам исследователей, несмотря на то, что Азербайджан не является членом НАТО, он тесно сотрудничает с североатлантическими организациями и участвует в учениях НАТО. Кроме того, та же кампания, вероятно, будет нацелена на других членов НАТО или страны, сотрудничающие с учениями НАТО. Кроме того, после того, как исследователи QuoIntelligence обнаружили кампанию, они сообщили о ее результатах французским властям.

Злой файл распространяется APT28 имеет право, «Урок 5 - 16 октября 2020.zipx». Для ничего не подозревающего пользователя это выглядит как ZIP-файл, содержащий материалы курса. Согласно BleepingComputer, ZIP-файл ведет себя почти как настоящий файл изображения. По словам исследователей QuoIntelligence, это связано с тем, что файл содержит законное изображение в формате JPG с прикрепленным к нему файлом ZIP. В свойствах метаданных и файла также отображается тип MIME «изображение / JPEG» со ссылками на "Данные изображения JPEG".

Архивы НАТО

Исследователи объясняют, что этот метод работает, потому что файлы JPEG анализируются с начала файла, а некоторые приложений Парсеры Zip Архивируйте файлы с конца файла, не глядя на подпись на лицевой стороне.

Во время анализа Qi'anxin Red Raindrops и QuoIntelligence образец вредоносного ПО имел очень низкий уровень обнаружения 3/61 в VirusTotal. Даже сегодня менее половины известных механизмов антивирус Обнаружение инфекции VirusTotal.

Этот метод также используется хакерами, чтобы избежать антивирусных программ или других систем фильтрации. При экспорте ZIP содержит поврежденный файл Excel (.xls) и другой файл с тем же именем. «Урок 5 - 16 октября 2020 года» но расширение EXE. В системах Windows, файл «Урок 5 - 16 октября 2020 года. Exe» отображает значок PDF.

НАТО

Вредоносное ПО Zebrocy, используемое в этой кампании, имеет множество функций, таких как: распознавание системы, создание / изменение файлов, создание снимков экрана на зараженном устройстве, произвольное выполнение команд и создание запрограммированной Windows задачи. Вредоносное ПО также "закидывает" множество файлов в зараженную систему, что делает ее "весьма заметной", поскольку ее действия вызывают срабатывание тревожных сигналов на основных продуктах. безопасность.

В этом случае полезная нагрузка Zebrocy (доступна в «Урок 5 - 16 октября 2020 г..exe») работает, воспроизводясь на "% AppData% \ Roaming \ Service \ 12345678 \ sqlservice.exe" и далее добавляет случайный 160-байтовый BLOB-объект во вновь созданный файл. Кроме того, вредоносная программа создала запланированную задачу Windows, которая запускается каждую минуту и ​​сообщает о краже. данные в Command & Control сервер (C2).

QuoIntelligence подозревает, что это вредоносное ПО нацелено на азербайджанские организации, на основании предыдущего ReconHellcat Кампания проанализирована компанией.

Три сходства между этими образцами приводят исследователей к выводу, что эта атака была нацелена на конкретную организацию, по крайней мере, в Азербайджане:

  • Загрузка как сжатого вредоносного ПО Zebrocy, так и приманки Организации по безопасности и сотрудничеству в Европе (ОБСЕ), используемой для доставки Черная вода backdoor, произошедший в тот же день, 5 августа.
  • Оба образца были загружены одним и тем же пользователем в Азербайджане и, скорее всего, одной и той же организацией.
  • Обе нападки произошло в то же время.

Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ