Οι Ρώσοι χάκερς της ομάδας που είναι γνωστή με τις ονομασίες APT28, Fancy Bear, Sofacy, Sednit και STRONTIUM, βρίσκονται πίσω από μια σειρά επιθέσεων που έχουν ως στόχο οργανισμούς. Οι Ρώσοι χάκερς παραδίδουν ένα δύσκολα ανιχνεύσιμο σκέλος του Zebrocy Delphi malware, το οποίο παρουσιαζόταν στα υποψήφια θύματα ως εκπαιδευτικό υλικό του NATO. Ερευνητές, εξετάζοντας τα αρχεία που περιείχαν το payload, ανακάλυψαν αυτά τα ψεύτικα και παραπλανητικά αρχεία JPG που εμφανίζουν εικόνες του NATO όταν ανοίγονται σε έναν υπολογιστή.
Τον περασμένο Αύγουστο, η ομάδα της Qi’anxin Red Raindrops ανέφερε ότι ανακάλυψε μια εκστρατεία που οργάνωσαν οι Ρώσοι χάκερς της APT28, η οποία έχει παραδώσει το Zebrocy malware με την μορφή εκπαιδευτικού υλικού του NATO.
Αξίζει να σημειωθεί ότι η εταιρεία threat intelligence “QuoIntelligence” είχε ειδοποιήσει τους οργανισμούς για αυτήν την εκστρατεία από τις 8 Αυγούστου, προτού δημοσιοποιηθούν πληροφορίες σχετικά με αυτήν. Οι ερευνητές της QuoIntelligence ανέφεραν στο BleepingComputer ότι η εκστρατεία στοχεύει χώρες-μέλη του NATO, καθώς και το Αζερμπαϊτζάν. Οι ερευνητές διευκρίνισαν πως παρά το γεγονός ότι το Αζερμπαϊτζάν δεν είναι μέλος του NATO, συνεργάζεται στενά με οργανισμούς του Βορειοατλαντικού και συμμετέχει σε ασκήσεις του NATO. Επιπλέον, η ίδια εκστρατεία πιθανότατα στοχεύει και άλλα μέλη του NATO ή χώρες που συνεργάζονται με ασκήσεις του NATO. Επιπλέον, αφότου οι ερευνητές της QuoIntelligence ανακάλυψαν την εν λόγω εκστρατεία, ανέφεραν τα ευρήματά της στις γαλλικές αρχές.
Το κακόβουλο αρχείο που διανέμεται από την APT28 έχει τον τίτλο, “Μάθημα 5 – 16 Οκτωβρίου 2020.zipx”. Σε έναν ανυποψίαστο χρήστη, αυτό φαίνεται να είναι ένα αρχείο ZIP που περιέχει υλικά μαθημάτων. Όπως αναφέρει το BleepingComputer, το αρχείο ZIP συμπεριφέρεται σχεδόν σαν ένα νόμιμο αρχείο εικόνας. Σύμφωνα με τους ερευνητές της QuoIntelligence, αυτό οφείλεται στο γεγονός ότι το αρχείο περιέχει μια νόμιμη εικόνα JPG με ένα αρχείο ZIP που επισυνάπτεται σε αυτό. Τα μεταδεδομένα και οι ιδιότητες του αρχείου εμφανίζουν επίσης έναν τύπο MIME “image / jpeg” με αναφορές στα “δεδομένα εικόνας JPEG”.
Οι ερευνητές εξηγούν πως αυτή η τεχνική λειτουργεί επειδή τα αρχεία JPEG αναλύονται από την αρχή του αρχείου και ορισμένες εφαρμογές Zip αναλύουν τα αρχεία Zip από το τέλος του αρχείου, χωρίς να κοιτάξουν την υπογραφή στο μπροστινό μέρος.
Τη στιγμή των αναλύσεων της ομάδα Qi’anxin Red Raindrops και της QuoIntelligence, το δείγμα malware είχε πολύ χαμηλό ποσοστό ανίχνευσης 3/61 στο VirusTotal. Ακόμα και σήμερα, λιγότεροι από τους μισούς γνωστούς μηχανισμούς antivirus επισημαίνουν τη μόλυνση στο VirusTotal.
Η τεχνική χρησιμοποιείται επίσης από χάκερς με στόχο την αποφυγή AVs ή άλλων συστημάτων φιλτραρίσματος. Κατά την εξαγωγή, το ZIP περιέχει ένα κατεστραμμένο αρχείο Excel (.xls) και ένα άλλο αρχείο με το ίδιο όνομα “Μάθημα 5 – 16 Οκτωβρίου 2020” αλλά μια επέκταση EXE. Σε συστήματα Windows, το αρχείο “Μάθημα 5 – 16 Οκτωβρίου 2020.exe” εμφανίζει ένα εικονίδιο PDF.
Το Zebrocy malware, που χρησιμοποιείται από αυτήν την εκστρατεία, έχει πολλές δυνατότητες, όπως αναγνώριση συστήματος, δημιουργία / τροποποίηση αρχείων, λήψη screenshots στη μολυσμένη συσκευή, αυθαίρετη εκτέλεση εντολών και δημιουργία προγραμματισμένων Windows tasks. Το malware “ρίχνει” επίσης πολλά αρχεία σε ένα μολυσμένο σύστημα, γεγονός που το καθιστά “αρκετά αισθητό”, καθώς οι δραστηριότητές του προκαλούν συναγερμούς σε κορυφαία προϊόντα ασφαλείας.
Σε αυτήν την περίπτωση, το Zebrocy payload (που υπάρχει στο “Μάθημα 5 – 16 Οκτωβρίου 2020.exe”) λειτουργεί αναπαράγοντας τον εαυτό του στο “% AppData% \ Roaming \ Service \ 12345678 \ sqlservice.exe” και προσθέτει περαιτέρω ένα τυχαίο blob 160 byte στο πρόσφατα δημιουργημένο αρχείο. Επιπλέον, το malware δημιούργησε ένα προγραμματισμένο Windows task, το οποίο τρέχει κάθε λεπτό, κοινοποιώντας κλεμμένα δεδομένα στον Command & Control server (C2).
Η QuoIntelligence υποψιάζεται ότι αυτό το malware στοχεύει οργανισμούς του Αζερμπαϊτζάν, βάσει μιας προηγούμενης ReconHellcat εκστρατείας που αναλύθηκε από την εταιρεία.
Τρεις ομοιότητες μεταξύ αυτών των δειγμάτων, οδηγούν τους ερευνητές στο συμπέρασμα ότι αυτή η επίθεση είχε ως στόχο έναν συγκεκριμένο οργανισμό, τουλάχιστον στο Αζερμπαϊτζάν:
- Το upload τόσο του συμπιεσμένου Zebrocy malware όσο και του θελγήτρου με θέμα τον Οργανισμό για την Ασφάλεια και τη Συνεργασία στην Ευρώπη (ΟΑΣΕ) που χρησιμοποιήθηκε για την παράδοση του BlackWater backdoor, έγινε την ίδια μέρα, στις 5 Αυγούστου.
- Το upload και των δύο δειγμάτων έγινε από τον ίδιο χρήστη στο Αζερμπαϊτζάν και πολύ πιθανό από τον ίδιο οργανισμό.
- Και οι δύο επιθέσεις συνέβησαν το ίδιο χρονικό διάστημα.
