“APT28 الروسية تستغل كورونا لنشر برمجية ZEBROCY”
رصدت لأول مرة في البرية في 2015، تم العثور على المشغلين وراء البرامج الضارة للتداخل مع طاقة رمادية، وهي مجموعة تهديدات يُعتقد أنها خليفة لـ Blackenergy الملقب Sandworm ، مما يشير إلى دورها كمجموعة فرعية مع روابط لـ Sofacy و Greyenergy.
متابعات-ميكسي نيوز
APT28…ظهر ممثل تهديد روسي معروف بحملات البرامج الضارة في مشهد التهديد من خلال هجوم آخر يستفيد من Covid-19 كإغراء للتصيد ، مما يشير مرة أخرى إلى كيف أن الخصوم بارعون في إعادة تشكيل الأحداث العالمية الحالية لصالحها.
ربط العملية بمجموعة فرعية من APT28 (AKA Sofacy أو Sednit أو Fancy Bear أو Strontium) ، شركة الأمن السيبراني intezer وقال تم توظيف رسائل البريد الإلكتروني للتصيد الخالص تحت عنوان PANDEMA حمراء (أو Zekapab) البرامج الضارة.
أخبرت شركة الأمن السيبراني صحيفة هاكر نيوز أن الحملات قد لوحظت في أواخر الشهر الماضي.
يتم تسليم Zebrocy في المقام الأول عبر هجمات التصيد التي تحتوي على مستندات Microsoft Office شرك مع وحدات الماكرو وكذلك مرفقات الملفات القابلة للتنفيذ.
رصدت لأول مرة في البرية في 2015، تم العثور على المشغلين وراء البرامج الضارة للتداخل مع طاقة رمادية، وهي مجموعة تهديدات يُعتقد أنها خليفة لـ Blackenergy الملقب Sandworm ، مما يشير إلى دورها كمجموعة فرعية مع روابط لـ Sofacy و Greyenergy.
تعمل كقائد خلفي وتنزيل قادر على جمع معلومات النظام ، ومعالجة الملفات ، والتقاط لقطات الشاشة ، وتنفيذ الأوامر الضارة التي يتم إجراؤها بعد ذلك إلى خادم يسيطر عليه المهاجم.
بينما تم كتابة Zebrocy في الأصل في Delphi (تسمى Delphocy) ، فقد تم تنفيذها منذ ذلك الحين في نصف دزينة من اللغات ، بما في ذلك Autoit و C ++ و C#و Go و Python و Vb.net.
تستخدم هذه الحملة المحددة التي رصدتها Intezer إصدار GO من البرامج الضارة ، الموثقة لأول مرة بواسطة شبكات بالو ألتو في أكتوبر 2018 وبعد ذلك كاسبرسكي في أوائل عام 2019 ، مع تسليم الإغراء كجزء من ملف محرك الأقراص الثابتة الافتراضية (VHD) يتطلب من الضحايا استخدام Windows 10 للوصول إلى الملفات.
بمجرد تركيبه ، يظهر ملف VHD كمحرك خارجي مع ملفين ، أحدهما وثيقة PDF التي تزعم احتواء شرائح العرض حول Sinopharm International Corporation ، وهي شركة صيدلانية مقرها الصين والتي لقاح Covid-19 وقد وجد أن 86 ٪ فعالة ضد الفيروس في التجارب السريرية في المرحلة المتأخرة.
الملف الثاني قابلة للتنفيذ يتم تنظيفه كموثق للكلمة ، عند فتحه ، يدير البرامج الضارة Zebrocy.
وقالت Intezer إنها لاحظت أيضًا وجود هجوم منفصل على الأرجح يستهدف كازاخستان من خلال سحر التصيد الذي ينتحل شخصية خطاب الإخلاء من المديرية العامة للطيران المدني.
تم رصد حملات التصيد الخادقة التي تقدم Zebrocy عدة مرات في البرية في الأشهر الأخيرة.
في سبتمبر من العام الماضي ، ESET أنشطة Sofacy التفصيلية التي تستهدف وزارات الشؤون الخارجية في دول أوروبا الشرقية ووسطى آسيا.
ثم في وقت سابق من شهر أغسطس ، quointelligence كشفت عن حملة منفصلة تهدف إلى هيئة حكومية في أذربيجان بموجب ذريعة مشاركة دورات تدريبية لحلف الناتو لتوزيع متغير دلفي الوحشي.
لفتت نسخة جولانج من الباب الخلفي Zebrocy انتباه وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ، التي أصدرت استشاري في أواخر شهر أكتوبر ، تحذر من أن البرامج الضارة “مصممة للسماح للمشغل البعيد بأداء وظائف مختلفة على النظام المعرض للخطر.”
لإحباط مثل هذه الهجمات ، توصي CISA بممارسة الحذر عند استخدام الوسائط القابلة للإزالة وفتح رسائل البريد الإلكتروني والمرفقات من المرسلين غير المعروفين ، والمسح الضوئي لمرفقات البريد الإلكتروني المشبوهة ، وضمان تمديد المرفق الممسوح يطابق رأس الملف.
