Los hackers rusos agencias del gobierno de ratas con falso curso de entrenamiento de la OTAN

El famoso grupo de hacker ruso Fancy Bear, también conocido como APT28 y Strongium, está apuntando a las agencias gubernamentales de los estados miembros de la OTAN.

El grupo, que supuestamente estaba detrás de la represalia en la Convención Nacional Democrática de los Estados Unidos en 2016, ahora está utilizando sofisticados maltware llamado Zeborcy Delphy para atacar los organismos gubernamentales y robar datos.

Por primera vez descubierta por QuoIntelligence en agosto de 2020, los investigadores de seguridad cibernética de la compañía descubrieron que el malarware estaba disfrazado en forma de falsos materiales de entrenamiento de la OTAN enviados a computadoras apuntadas. A primera vista, parecería que los materiales de entrenamiento eran legítimos, pero una mirada cercana reveló el propósito malicioso.

El material del curso distribuido por APT28 contenía неx2 confianzaCourse 5 octubre 16, 2020.zipx fielx3. El archivo parece un archivo zip archivado que contiene materiales de la OTAN. Cuando los investigadores renombraron el rango de la cremallera a .jpg, encontraron que se comportaba exactamente como un archivo de imagen, mostrando el logotipo del Estado Mayor de las Potencias Aliadas de Europa. De todos modos, no era lo que parecía.

Cuando los investigadores cavaron profundo, encontraron неx0 confianzathe zpddar uniendo fielx1 contacto. Esta técnica funciona porque los archivos JPEG se analizan desde el inicio del archivo y varias aplicaciones Zip analizan los archivos Zip desde la parte inferior del archivo (como el índice se establece allí) sin mirar la firma en el lado frontal seccionóx3, explican los investigadores.

A través de esta técnica, los hackers Fancy Bear querían evitar la detección de antivirus ya que el programa de computadora pasaría a probarlo malinterpretándolo para un archivo de imagen. Sin embargo, para descomprimir el archivo, debe utilizar Win RAR. Si la víctima utiliza WinZip o cualquier otro programa de descompresión, indicaría un mensaje de error afirmando que el archivo es corrupto.

Una vez descomprimidos, se muestran dos archivos <x0 confianzaCourse 5 octubre 2020.exe obtenidosx1 confianza y <x2 confianzaCourse 5 octubre 16, 2020. xls madex3 confianza El archivo de éxtasis, sin embargo, no puede ser abierto por Microsoft Excel después de mostrar corrupto. Los investigadores encontraron que el archivo contenía información sobre el personal militar para una Misión de la Unión Africana para Somalia seleccionadax5 contáctenos.

Sin embargo, el objetivo era llevar a la víctima a abrir el otro archivo que viene con un icono El PDF contenía malware Zeborcy Delphy. Si las extensiones de archivo no se muestran, la víctima haría clic en el PDF de una manera desconocida, pero es un archivo ejecutable (.exe) por mal uso para PDF con el material del curso.

Después de ser ejecutado, el archivo elimina el malware de Zeborcy y crea una tarea diseñada para enviar datos robados a un servidor remoto. También se comunica con un comando y control. Según BleepingComputer, el malware Zeborcy puede ser utilizado para múltiples propósitos. Puede crear y modificar archivos, tomar imágenes de la pantalla y ejecutar comando.

QuoIntelligence found Azerbaijan was targeted by malware. Aunque el país no es parte de la OTAN, coopera con la alianza y participa en ejercicios de capacitación. Los investigadores creen que muchos otros países de la OTAN ya han sido atacados.