Gli hacker russi ratto agenzie governative con falso corso di formazione NATO

Il famigerato gruppo di hacker russo Fancy Bear, noto anche come APT28 e Strongium, si rivolge alle agenzie governative degli stati membri della NATO.

Il gruppo, che è stato presumibilmente dietro la ritorsione alla Convenzione Nazionale Democratica degli Stati Uniti nel 2016, sta ora utilizzando sofisticati maltware chiamato Zeborcy Delphy per indirizzare gli enti governativi e rubare i dati.

Per la prima volta scoperto da QuoIntelligence nell'agosto 2020, i ricercatori della sicurezza informatica della società hanno scoperto che il malarware è stato travestito sotto forma di falsi materiali di formazione della NATO inviati a computer mirati. A prima vista, sembrerebbe che i materiali di formazione fossero legittimi, ma uno sguardo ravvicinato ha rivelato lo scopo maligno.

Il materiale del corso distribuito da APT28 conteneva “Course 5 ottobre 16, 2020.zipx Il file sembra un file zip archiviato contenente materiali NATO. Quando i ricercatori hanno rinominato l'intervallo zip a .jpg, hanno scoperto che si comportava esattamente come un file di immagine, mostrando il logo del personale supremo delle potenze alleate d'Europa (SHAPE), NATO Allied Command Operations (ACO) in Belgio. Comunque, non era come sembra.

Quando i ricercatori scavarono in profondità, trovarono “lo zpddar che unificava l'Hizx1>. “Questa tecnica funziona perché i file JPEG vengono analizzati dall'inizio del file e diverse applicazioni Zip analizzano i file Zip dal fondo del file (come l'indice è impostato lì) senza guardare la firma al lato anteriore

Attraverso questa tecnica, gli hacker di Fancy Bear hanno voluto evitare il rilevamento di antivirus in quanto il programma del computer sarebbe passato a testarlo sbagliando per un file di immagine (JPG / JPEG). Tuttavia, per decomprimere il file, è necessario utilizzare Win RAR. Se la vittima utilizza WinZip o qualsiasi altro programma di decompressione, indicherebbe un messaggio di errore sostenendo che il file è corrotto.

Una volta decompresso, due file sono mostrati “Course 5 Ottobre 2020.exe” e “Course 5 Ottobre 16, 2020. xls Il file ecstasy, tuttavia, non può essere aperto da Microsoft Excel dopo aver mostrato danneggiato. I ricercatori hanno scoperto che il file contiene informazioni sul personale militare per una “Missione dell'Unione Africana per la Somalia

Tuttavia, l'obiettivo era quello di tirare la vittima ad aprire l'altro file che viene fornito con un'icona Il PDF contenuto malware Zeborcy Delphy. Se le estensioni di file non sono mostrate, la vittima farebbe clic sul PDF in modo sconosciuto, ma è un file eseguibile (.exe) abusando per il PDF con il materiale del corso.

Dopo essere stato eseguito, il file rimuove il malware di Zeborcy e crea un'attività progettata per inviare dati rubati a un server remoto. Inoltre comunica con un comando e un controllo (C2) in Francia. Secondo BleepingComputer, il malware Zeborcy può essere utilizzato per scopi multipli. Può creare e modificare i file, prendere le immagini dallo schermo e eseguire il comando.

QuoIntelligence ha trovato Azerbaijan è stato preso di mira da malware. Anche se il paese non fa parte della NATO, coopera con l'alleanza e partecipa ad esercizi di formazione. I ricercatori ritengono che molti altri paesi della NATO siano già stati presi di mira.