Um ator de ameaças russo conhecido por suas campanhas de malware reapareceu no cenário de ameaças com outro ataque aproveitando o COVID-19 como iscas de phishing, mais uma vez indicando como os adversários são adeptos de redirecionar os eventos mundiais atuais a seu favor.

Vinculando a operação a um subgrupo de APT28 (também conhecido como Sofacy, Sednit, Fancy Bear ou STRONTIUM), a empresa de segurança cibernética Intezer disse que os e-mails de phishing com tema pandêmico foram empregados para entregar a versão Go do malware Zebrocy (ou Zekapab).

A empresa de segurança cibernética disse ao The Hacker News que as campanhas foram observadas no final do mês passado.

O Zebrocy é entregue principalmente por meio de ataques de phishing que contêm documentos falsos do Microsoft Office com macros e também anexos de arquivos executáveis.

Identificados pela primeira vez em 2015 , os operadores por trás do malware se sobrepuseram ao GreyEnergy , um grupo de ameaças que se acredita ser o sucessor do BlackEnergy, também conhecido como Sandworm , sugerindo seu papel como um subgrupo com links para Sofacy e GreyEnergy.

Ele opera como um backdoor e um downloader capaz de coletar informações do sistema, manipulação de arquivos, capturar imagens e executar comandos maliciosos que são então exfiltrados para um servidor controlado pelo invasor.

Embora Zebrocy tenha sido originalmente escrito em Delphi (chamado Delphocy), ele foi implementado em meia dúzia de linguagens, incluindo AutoIT, C ++, C #, Go, Python e VB.NET.

Esta campanha específica identificada por Intezer usa a versão Go do malware, documentado pela Palo Alto Networks em outubro de 2018 e posteriormente pela Kaspersky no início de 2019, com a isca entregue como parte de um arquivo de disco rígido virtual (VHD) que exige que as vítimas use o Windows 10 para acessar os arquivos.

Uma vez montado, o arquivo VHD aparece como uma unidade externa com dois arquivos, um deles é um documento PDF que pretende conter slides de apresentação sobre a Sinopharm International Corporation, uma empresa farmacêutica com sede na China cuja vacina COVID-19 foi considerada 86% eficaz contra o vírus em testes clínicos de estágio avançado.

O segundo arquivo é um executável que se mascara como um documento do Word que, quando aberto, executa o malware Zebrocy.

Intezer disse que também observou um ataque separado que provavelmente tinha como alvo o Cazaquistão com iscas de phishing personificando uma carta de evacuação da Diretoria Geral de Aviação Civil da Índia.

Campanhas de phishing que usam o Zebrocy foram detectadas várias vezes nos últimos meses.

Em setembro do ano passado, a ESET detalhou as atividades intrusivas da Sofacy direcionadas aos Ministérios das Relações Exteriores nos países da Europa Oriental e da Ásia Central.

Então, no início de agosto, a QuoIntelligence descobriu uma campanha separada destinada a um órgão do governo no Azerbaijão sob o pretexto de compartilhar cursos de treinamento da OTAN para distribuir a variante Zebrocy Delphi.

A versão Golang do backdoor Zebrocy também chamou a atenção da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), que divulgou um comunicado no final de outubro, alertando que o malware é "projetado para permitir que um operador remoto execute várias funções no sistema comprometido sistema."

Para impedir tais ataques, a CISA recomenda ter cuidado ao usar mídia removível e abrir e-mails e anexos de remetentes desconhecidos, e verificar se há anexos de e-mail suspeitos, garantindo que a extensão do anexo verificado corresponda ao cabeçalho do arquivo.

Achou este artigo interessante? Siga a THN no Facebook , Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Fonte: thehackernews

« Retornar