Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обнаружена новая кампания Zebrocy против стран-участниц НАТО

24/09/20

zebrocyСпециалисты компании QuoINT выявили новую вредоносную кампанию с использованием трояна Zebrocy, нацеленную на страны-участницы НАТО.

Впервые о Zebrocy стало известно в 2018 году. Предполагается, что он является инструментом из арсенала нашумевшей киберпреступной группы APT28, также известной под названиями Fancy Bear, Pawn Storm, Sednit и Strontium и активной как минимум с 2007 года.

Некоторые эксперты считают операторов Zebrocy отдельной группировкой, однако есть немало свидетельств связи между Zebrocy и другими вредоносными кампаниями, например, с GreyEnergy.

В новой кампании Zebrocy, начавшейся 5 августа нынешнего года, используется вариант трояна, написанный на Delphi, и с C&C-инфраструктурой, расположенной во Франции.

Троян распространяется через поддельные JPEG-изображения, которые на самом деле представляют собой ZIP-архив. Файл загружает на атакуемую систему исполняемый файл Zebrocy и поврежденный файл Excel с целью обманом заставить жертву выполнить вредоносную программу.

После выполнения вредонос создает запланированную задачу по регулярной отправке похищенных данных на удаленный домен. Если на C&C-сервер не отправляется ничего интересного, он отключает соединение с зараженным хостом.

Для того чтобы убедить жертву выполнить вредоносное ПО, злоумышленники используют тему НАТО. Данная тема часто используется в кампаниях APT28 (в частности, она использовалась в атаках 2017 года). Предполагаемой жертвой в новой кампании был конкретный правительственный орган в Азербайджане, но другие члены НАТО или страны, участвующие в учениях альянса, также могли стать мишенью.

Как отмечают исследователи, новая кампания APT28 очень похожа на обнаруженную в прошлом месяце кампанию ReconHellcat /BlackWater. Архив с Zebrocy и приманка для атаки BlackWater были загружены 5 августа одним и тем же пользователем в Азербайджане (весьма вероятно, одной и той же организацией); обе атаки произошли одновременно.

Подробнее: https://www.securitylab.ru/news/512405.php

Темы:ПреступленияНАТОКиберугрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...