شرکت امنیت سایبری Intezer با انتصاب عملیات به زیرمجموعه‌ای از APT28 با نام مستعار Sofacy ،Sednit ،Fancy Bear یا (STRONTIUM) گفت که از ایمیل‌های فیشینگ با موضوع همه‌گیری کرونا برای تحویل نسخه Go بدافزار Zebrocy (یا Zekapab) استفاده شده است.

Zebrocy در وهله اول از طریق حملات فیشینگ ارائه می‌شود که حاوی اسناد Microsoft Office فریبنده با ماکرو و همچنین پیوست‌های فایل اجرایی است.
برای اولین بار در سال ۲۰۱۵ مشاهده شده‌اند، مشخص شده است که عاملان این بدافزار با GreyEnergy، یک گروه که جانشین BlackEnergy یا Sandworm است همپوشانی دارند که نقش آن را به عنوان یک زیر گروه با پیوندهایی به Sofacy و GreyEnergy نشان می‌دهد.

این بدافزار به عنوان یک درب‌پشتی و بارگیری‌کننده عمل می‌کند که قادر به جمع‌آوری اطلاعات سیستم، دستکاری پرونده‌ها، گرفتن عکس از صفحه و اجرای دستورات مخربی است که سپس به یک سرور کنترل شده توسط مهاجم منتقل می‌شوند.
در حالی که Zebrocy در اصل در دلفی نوشته شده است (Delphocy نامیده می شود)، از آن زمان به بعد به زبان‌های مختلفی اجرا شده است، از جمله AutoIT ،C ++ ،C# ،Go ،Python و VB.NET.
این کمپین خاص که توسط Intezer مشاهده شده است از نسخه مخرب بدافزار استفاده می‌کند، اولین بار توسط Palo Alto Networks در اکتبر ۲۰۱۸ و بعداً توسط Kaspersky در اوایل سال ۲۰۱۹ به ثبت رسیده است، با فریب به عنوان بخشی از یک فایل هارد درایو مجازی (VHD) ارائه شده است که قربانیان را مجبور می‌کند برای دسترسی به پرونده‌ها از ویندوز ۱۰ استفاده کنند.

پس از نصب، پرونده VHD به عنوان یک درایو خارجی با دو فایل ظاهر می‌شود، یکی سند PDF که حاوی اسلایدهای ارائه شده درباره Sinopharm International Corporation، یک شرکت دارویی مستقر در چین است.
فایل دوم یک فایل اجرایی است که به عنوان یک سند Word بدل می‌شود که با باز شدن آن بدافزار Zebrocy اجرا می‌شود.

کمپین‌های فیشینگ تحویل Zebrocy در ماه‌های اخیر چندین بار دیده شده‌اند.
در سپتامبر سال گذشته، ESET از فعالیت‌های Sofacy با هدف، هدف قرار دادن وزارتخانه‌های امور خارجه در کشورهای اروپای شرقی و آسیای میانه خبر داد.

 


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

126

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *