一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。
网络安全公司Intezer将这一行动与APT28(又名Sofacy、Sednit、Fancy Bear或STRONTIUM)联系起来,并表示,这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy(或Zekapab)恶意软件的Go版本。这些活动是上个月底观察到的。
Zebrocy主要通过网络钓鱼进行攻击,该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。
该恶意软件的幕后攻击者于2015年被发现,并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy(又名Sandworm)的继承者,这表明攻击者与Sofacy和GreyEnergy都有关联。
它充当后门和下载程序,能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令,然后将这些命令过滤到攻击者控制的服务器上。
虽然Zebrocy最初是用Delphi(称为DelPHOCY)编写的,但此后已用五六种语言来实现,包括AutoIT、C++、C#、GO、Python和VB.NET。
本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录,随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘(VHD)文件的一部分提供,该文件要求受害者使用Windows 10访问。
VHD文件一旦安装,就会显示为带有两个文件的外部驱动器,其中一个是PDF文件,据称包含关于Sinopharm International Corporation(一家中国制药公司)的幻灯片,该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。
第二个文件是一个可执行文件,它伪装成Word文档,打开后运行Zebrocy恶意软件。
Intezer称,他们还观察到了一次针对哈萨克斯坦的单独攻击,攻击者可能使用了网络钓鱼诱饵,冒充印度民航总局的撤离信。
近几个月来,我们在野外多次发现了提供Zebrocy的网络钓鱼活动。
去年9月,ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。
今年8月早些时候,QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。
Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局(CISA)的注意。该局在10月底发布了一份报告,表示:“该恶意软件允许远程攻击者在受损系统上执行各种功能。”
为了阻止此类攻击,CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎,并确保扫描附件的扩展名与文件头相匹配。
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册