21/12/18
/hack23.jpg?width=300&name=hack23.jpg)
Киберпреступная группировка APT28 (также известна как Fancy Bear) создала множество версий своего трояна Zebrocy на разных языках программирования, вероятно, с целью затруднить обнаружение вредоносной активности.
Специалисты подразделения Unit42 компании Palo Alto Networks обнаружили вариант Zebrocy, написанный на языке Go и использовавшийся в нескольких фишинговых кампаниях. По их словам, также существуют идентичные по функционалу варианты трояна, написанные на AutoIt, Delphi, VB.NET, C# и Visual C++.
«Мы не можем утверждать с уверенностью, но скорее всего, группа использует для создания своих троянов несколько языков с целью сделать их разными по структуре и внешним признакам, чтобы их труднее было обнаружить», - пишут исследователи.
Zebrocy представляет собой вредоносное ПО, создающее на атакуемой системе бэкдор, который может использоваться в разных целях, в том числе для шпионажа. В последнее время группировка APT28, часто связываемая с российскими спецслужбами, стала активнее использовать троян в своих кампаниях.
Вариант Zebrocy на языке Go был замечен в двух разных кампаниях. Одна из них была зафиксирована 11 октября нынешнего года. Злоумышленники рассылали фишинговые письма на русском языке, в теме которых значилось: «Влияние санкций США на российскую экономику». В письмах содержался вредоносный документ, устанавливавший на компьютер жертвы троян Zebrocy. По словам исследователей, кампания оказалась провальной из-за допущенной злоумышленниками ошибки в коде.
Go-версия трояна также использовалась в атаках на госучреждения в Северной Америке, странах постсоветского пространства и в Европе. Злоумышленники рассылали фишинговые письма с вредоносным документом Microsoft Word. Документ требовал от жертвы включить макросы, после чего на ее компьютер устанавливался Zebrocy.
Подробнее: https://www.securitylab.ru/news/497136.php
