vor 15 MinutenRussische Hacker Ratten Behörden mit falschen NATO Trainingskurs
Periskopi(vor 6 Jahren)
(vor 6 Jahren)Die berüchtigte russische Hacker-Gruppe Fancy Bear, auch bekannt als APT28 und Strongium, richtet sich an die Behörden der NATO-Mitgliedstaaten. Die Gruppe, die angeblich hinter der Vergeltung auf der US-amerikanischen National Democratic Convention im Jahr 2016 war, nutzt jetzt anspruchsvolle Malware namens Zeborcy Delphy, um Regierungsorgane anzusprechen [...]
Die berüchtigte russische Hacker-Gruppe Fancy Bear, auch bekannt als APT28 und Strongium, richtet sich an die Behörden der NATO-Mitgliedstaaten.
Die Gruppe, die angeblich hinter der Vergeltung auf der US-amerikanischen National Democratic Convention im Jahr 2016 war, nutzt jetzt anspruchsvolle Maltware namens Zeborcy Delphy, um Regierungsstellen zu richten und Daten zu stehlen.
Zum ersten Mal von QuoIntelligence im August 2020 entdeckten Cyber-Sicherheitsforscher des Unternehmens, dass Malarware in Form von falschen NATO-Trainingsmaterialien, die an gezielte Computer gesendet wurden, verkleidet wurde. Auf den ersten Blick scheint es, dass die Trainingsmaterialien legitim waren, aber ein enger Blick offenbart den bösartigen Zweck.
Das von APT28 vertriebene Kursmaterial enthielt “Course 5. Oktober 16, 2020.zipx”. Die Datei sieht aus wie eine archivierte Zip-Datei mit NATO-Materialien. Als Forscher den Zip-Bereich auf .jpg umbenennen, fanden sie, dass sie sich genau wie eine Bilddatei verhalten und das Logo des Supreme Staff of the Allied Powers of Europe (SHAPE), NATO Allied Command Operations (ACO) in Belgien zeigen. Jedenfalls war es nicht so, wie es aussieht.
Wenn Forscher tief graben, fanden sie “die zpddar Einheit”. “Diese Technik funktioniert, weil Dateien JPEG ab dem Start der Datei analysiert wird und mehrere Zip-Anwendungen Zip-Dateien vom unteren Rand der Datei analysieren (wie der Index dort eingestellt ist), ohne die Unterzeichnung an der Vorderseite zu betrachten”, erklärten Forscher.
Durch diese Technik wollten Fancy Bear Hacker Antivirus-Erkennungen vermeiden, da das Computer-Programm es durch eine falsche Erfassung für eine Bilddatei (JPG / JPEG) testen würde. Um die Datei jedoch zu dekomprimieren, müssen Sie Win RAR verwenden. Wenn das Opfer WinZip oder irgendein anderes Dekomprimierungsprogramm verwendet, würde es eine Fehlermeldung angeben, die behauptet, die Datei beschädigt ist.
Einmal dekomprimiert werden zwei Dateien angezeigt “Course 5 Oktober 2020.exe” und “Course 5 Oktober 16, 2020. xls” Die ecstasy-Datei kann jedoch nicht von Microsoft Excel nach dem Abbild beschädigt geöffnet werden. Forscher fanden heraus, dass die Datei Informationen über militärisches Personal für eine Mission der Afrikanischen Union für Somalia enthielt”.
Das Ziel war jedoch, das Opfer in das Öffnen der anderen Datei, die mit einem Symbol kommt, zu ziehen. Die PDF-Datei enthält Malware Zeborcy Delphy. Wenn die Dateiendungen nicht angezeigt werden, würde das Opfer auf unbekannte Weise auf das PDF klicken, aber es ist eine ausführbare Datei (.exe) durch das Mischen für PDF mit dem Kursmaterial.
Nachdem sie ausgeführt wurde, entfernt die Datei die Malware von Zeborcy und schafft eine Aufgabe, um gestohlene Daten an einen entfernten Server zu senden. Er kommuniziert auch mit einem Befehl und einer Kontrolle (C2) in Frankreich. Nach BleepingComputer kann das Zeborcy Malware für mehrere Zwecke verwendet werden. Es kann Dateien erstellen und ändern, Bilder vom Bildschirm nehmen und Befehl ausführen.
QuoIntelligence fand Aserbaidschan durch Malware gezielt. Obwohl das Land nicht Teil der NATO ist, arbeitet es mit der Allianz zusammen und nimmt an Trainingsübungen teil. Forscher glauben, dass viele andere NATO-Länder bereits gezielt wurden.
