Một kẻ đe dọa người Nga nổi tiếng với các chiến dịch phần mềm độc hại đã xuất hiện trở lại trong bối cảnh mối đe dọa với một cuộc tấn công khác sử dụng COVID-19 làm mồi lừa đảo, một lần nữa cho thấy kẻ thù đã thành thạo như thế nào trong việc tái lập các sự kiện thế giới hiện tại để có lợi cho họ.
Liên kết hoạt động với một nhóm phụ của APT28 (còn gọi là Sofacy, Sednit, Fancy Bear hoặc STRONTIUM), công ty an ninh mạng Intezer cho biết các email lừa đảo theo chủ đề đại dịch đã được sử dụng để cung cấp phiên bản Go của Zebrocy (hoặc Zekapab) phần mềm độc hại.
Công ty an ninh mạng nói với The Hacker News rằng các chiến dịch đã được quan sát vào cuối tháng trước.
Zebrocy được phân phối chủ yếu thông qua các cuộc tấn công lừa đảo chứa tài liệu Microsoft Office giả mạo bằng macro cũng như tệp đính kèm thực thi.
Lần đầu tiên được phát hiện trong tự nhiên ở 2015, các nhà khai thác đằng sau phần mềm độc hại đã được phát hiện là trùng lặp với GreyEnergy, một nhóm đe dọa được cho là kẻ kế thừa của BlackEnergy aka Sâu cát, đề xuất vai trò của nó như một nhóm phụ có liên kết với Sofacy và GreyEnergy.
Nó hoạt động như một cửa hậu và trình tải xuống có khả năng thu thập thông tin hệ thống, thao tác tệp, chụp ảnh màn hình và thực hiện các lệnh độc hại sau đó được chuyển đến máy chủ do kẻ tấn công kiểm soát.
Trong khi Zebrocy ban đầu được viết bằng Delphi (được gọi là Delphocy), nó đã được triển khai bằng nửa tá ngôn ngữ, bao gồm AutoIT, C ++, C #, Go, Python và VB.NET.
Chiến dịch cụ thể được phát hiện bởi Intezer này sử dụng phiên bản Go của phần mềm độc hại, được ghi lại lần đầu tiên bởi Palo Alto Networks vào tháng 10 năm 2018 và sau đó bởi Kaspersky vào đầu năm 2019, với sự thu hút được phân phối dưới dạng một phần của tệp Ổ cứng ảo (VHD) yêu cầu nạn nhân sử dụng Windows 10 để truy cập tệp.
Sau khi được gắn kết, tệp VHD xuất hiện dưới dạng ổ đĩa ngoài với hai tệp, một tệp là tài liệu PDF có mục đích chứa các trang trình bày về Tập đoàn Quốc tế Sinopharm, một công ty dược phẩm có trụ sở tại Trung Quốc. Vắc-xin phòng ngừa covid-19 đã được chứng minh là có hiệu quả chống lại vi rút là 86% trong các thử nghiệm lâm sàng giai đoạn cuối.
Tệp thứ hai là tệp thực thi giả dạng tài liệu Word, khi mở ra, sẽ chạy phần mềm độc hại Zebrocy.
Intezer cho biết họ cũng quan sát thấy một cuộc tấn công riêng biệt có khả năng nhắm vào Kazakhstan với các chiêu trò lừa đảo mạo danh thư sơ tán từ Tổng cục Hàng không Dân dụng Ấn Độ.
Các chiến dịch lừa đảo cung cấp Zebrocy đã bị phát hiện nhiều lần trong những tháng gần đây.
Vào tháng 9 năm ngoái, ESET chi tiết các hoạt động xâm nhập của Sofacy nhằm vào Bộ Ngoại giao các nước Đông Âu và Trung Á.
Sau đó vào đầu tháng 8 này, QuoIntelligence đã phát hiện ra một chiến dịch riêng biệt nhằm vào một cơ quan chính phủ ở Azerbaijan với lý do tham gia các khóa đào tạo của NATO để phân phối biến thể Zebrocy Delphi.
Phiên bản Golang của backdoor Zebrocy cũng thu hút sự chú ý của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), cơ quan đã phát hành tham mưu vào cuối tháng 10, cảnh báo rằng phần mềm độc hại này “được thiết kế để cho phép người điều hành từ xa thực hiện các chức năng khác nhau trên hệ thống bị xâm phạm.”
Để ngăn chặn các cuộc tấn công như vậy, CISA khuyến nghị nên thận trọng khi sử dụng phương tiện di động và mở email và tệp đính kèm từ những người gửi không xác định, đồng thời quét các tệp đính kèm email đáng ngờ và đảm bảo phần mở rộng của tệp đính kèm được quét khớp với tiêu đề tệp.
