ΑρχικήsecurityΡώσοι χάκερ κρύβουν το malware Zebrocy σε εικόνες εικονικού δίσκου

Ρώσοι χάκερ κρύβουν το malware Zebrocy σε εικόνες εικονικού δίσκου

Ρώσοι χάκερ πίσω από το malware Zebrocy άλλαξαν την τεχνική τους για την παράδοση του malware σε θύματα υψηλού προφίλ και άρχισαν να τοποθετούν το κακόβουλο λογισμικό σε Virtual Hard Drives (VHD) για να αποφύγουν τον εντοπισμό.

Η τεχνική εντοπίστηκε σε κάποιες πρόσφατες εκστρατείες spear-phishing από την ομάδα APT28 (Fancy Bear, Sofacy, Strontium, Sednit) η οποία προσπαθούσε να μολύνει τα συστήματα με μια παραλλαγή του εργαλείου Zebrocy.

Zebrocy malware

Οι νέες παραλλαγές του Zebrocy δεν ανιχνεύονται εύκολα

Το Zebrocy διατίθεται σε πολλές γλώσσες προγραμματισμού (AutoIT, C ++, C #, Delphi, Go, VB.NET). Για τις πρόσφατες της εκστρατείες, η ομάδα επέλεξε την έκδοση με βάση το Golang αντί για την πιο κοινή έκδοση των Delphi.

Τα Windows 10 υποστηρίζουν εγγενή αρχεία VHD και μπορούν να τα προσαρτήσουν ως εξωτερικές μονάδες δίσκου για να επιτρέπουν στους χρήστες να βλέπουν τα αρχεία εσωτερικά. Πέρυσι, οι ερευνητές ασφαλείας ανακάλυψαν ότι τα antivirus δεν ελέγχουν τα περιεχόμενα του VHD έως ότου τοποθετηθούν οι εικόνες δίσκου.

Οι ερευνητές του Intezer ανακάλυψαν στα τέλη Νοεμβρίου ένα VHD που ανέβηκε στην πλατφόρμα σάρωσης Virus Total από το Αζερμπαϊτζάν. Μέσα στην εικόνα ήταν ένα αρχείο PDF και ένα εκτελέσιμο που παρίστανε το έγγραφο του Microsoft Word, το οποίο ήταν το malware Zebrocy.

Το PDF είναι μια παρουσίαση σχετικά με την Sinopharm International Corporation, μια κινεζική φαρμακευτική εταιρεία που βρίσκεται επί του παρόντος στη φάση των δοκιμών για ένα εμβόλιο για τον COVID-19.

Η παραλλαγή του Zebrocy στο αρχείο VHD είναι νέα και δεν εντοπίστηκε εύκολα από το Virus Total. Ωστόσο, η ανάλυση του Intezer έδειξε ότι το νέο Zebrocy είναι γενετικά παρόμοιο με μια παραλλαγή του Delphi που χρησιμοποιήθηκε πριν από ένα χρόνο σε μια εκστρατεία εναντίον κάποιων στόχων στο Αζερμπαϊτζάν.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS