il y a 20 minutesLes pirates russes ratent les agences gouvernementales avec un faux cours de formation de l'OTAN
Periskopi(il y a 6 ans)
(il y a 6 ans)Le célèbre groupe de hackers russes Fancy Bear, également connu sous le nom d'APT28 et Strongium, vise les agences gouvernementales des États membres de l'OTAN. Le groupe, qui aurait été derrière les représailles à la Convention démocratique nationale américaine en 2016, utilise maintenant des logiciels malveillants sophistiqués appelés Zeborcy Delphy pour cibler les organes [...]
Le célèbre groupe de hackers russes Fancy Bear, également connu sous le nom d'APT28 et Strongium, vise les agences gouvernementales des États membres de l'OTAN.
Le groupe, qui aurait été à l'origine des représailles à la Convention démocratique nationale des États-Unis en 2016, utilise maintenant des malteries sophistiquées appelées Zeborcy Delphy pour cibler les organismes gouvernementaux et voler des données.
Pour la première fois découvert par QuoIntelligence en août 2020, les chercheurs en cybersécurité de la société ont découvert que le malarware était déguisé en faux matériels d'entraînement de l'OTAN envoyés à des ordinateurs ciblés. À première vue, il semblerait que le matériel d'entraînement soit légitime, mais un regard étroit a révélé le but malveillant.
Le matériel de cours distribué par APT28 contenait “Cours 5 octobre 16, 2020.zipx”. Le fichier ressemble à un fichier zip archivé contenant des documents de l'OTAN. Lorsque les chercheurs ont rebaptisé la gamme zip en .jpg, ils ont découvert qu'elle se comportait exactement comme un fichier image, montrant le logo de l'état-major suprême des puissances alliées d'Europe (SHAPE), Opérations de commandement allié de l'OTAN (ACO) en Belgique. De toute façon, ce n'était pas à quoi ça ressemblait.
Lorsque les chercheurs ont creusé en profondeur, ils ont trouvé “l'unité zpddar”. “Cette technique fonctionne parce que les fichiers JPEG sont analysés dès le début du fichier et que plusieurs applications Zip analysent les fichiers Zip à partir du bas du fichier (comme l'index y est défini) sans regarder la signature au front-side”, ont expliqué les chercheurs.
Grâce à cette technique, Fancy Bear hackers a voulu éviter la détection antivirus car le programme informatique passerait le test en le prenant mal pour un fichier image (JPG / JPEG). Cependant, pour décompresser le fichier, vous devez utiliser Win RAR. Si la victime utilise WinZip ou tout autre programme de décompression, cela indiquerait un message d'erreur affirmant que le fichier est corrompu.
Une fois décompressé, deux fichiers sont affichés “Cours 5 octobre 2020.exe” et “Cours 5 octobre 16, 2020. xls” Le fichier ecstasy, cependant, ne peut pas être ouvert par Microsoft Excel après avoir montré corrompu. Les chercheurs ont constaté que le dossier contenait des renseignements sur le personnel militaire pour une mission de l'Union africaine en Somalie”.
Cependant, le but était de tirer la victime dans l'ouverture de l'autre fichier qui vient avec une icône Le PDF contenu malware Zeborcy Delphy. Si les extensions de fichiers ne sont pas affichées, la victime cliquerait sur le PDF d'une manière inconnue, mais c'est un fichier exécutable (.exe) en l'utilisant mal pour le PDF avec le matériel du cours.
Après avoir été exécuté, le fichier supprime le malware de Zeborcy et crée une tâche conçue pour envoyer des données volées à un serveur distant. Il communique également avec une commande et un contrôle (C2) en France. Selon BleepingComputer, le malware Zeborcy peut être utilisé à de multiples fins. Il peut créer et modifier des fichiers, prendre des images de l'écran et exécuter la commande.
QuoIntelligence trouvé Azerbaïdjan a été ciblé par des logiciels malveillants. Bien que le pays ne fasse pas partie de l'OTAN, il coopère avec l'alliance et participe à des exercices d'entraînement. Les chercheurs croient que de nombreux autres pays de l'OTAN ont déjà été visés.
