原文《俄羅斯?APT28?黑客組織使用?COVID-19?作為誘餌傳遞?Zebrocy?惡意軟件》

一個以惡意軟件活動著稱的俄羅斯黑客組織再次利用COVID-19作為網(wǎng)絡(luò)釣魚誘餌進(jìn)行惡意攻擊。

網(wǎng)絡(luò)安全公司Intezer將這一行動與APT28（又名Sofacy、Sednit、Fancy Bear或STRONTIUM）聯(lián)系起來，并表示，這些以COVID-19為主題的網(wǎng)絡(luò)釣魚電子郵件被用來傳播Zebrocy（或Zekapab）惡意軟件的Go版本。這些活動是上個月底觀察到的。

Zebrocy主要通過網(wǎng)絡(luò)釣魚進(jìn)行攻擊，該攻擊包含有宏和可執(zhí)行文件附件的Microsoft Office文檔誘餌。

該惡意軟件的幕后攻擊者于2015年被發(fā)現(xiàn)，并與GreyEnergy有所聯(lián)系。GreyeEnergy被認(rèn)為是BlackEnergy（又名Sandworm）的繼承者，這表明攻擊者與Sofacy和GreyEnergy都有關(guān)聯(lián)。

它充當(dāng)后門和下載程序，能夠收集系統(tǒng)信息、文件操作、捕獲屏幕截圖和執(zhí)行惡意命令，然后將這些命令過濾到攻擊者控制的服務(wù)器上。

雖然Zebrocy最初是用Delphi（稱為DelPHOCY）編寫的，但此后已用五六種語言來實(shí)現(xiàn)，包括AutoIT、C++、C#、GO、Python和VB.NET。

本次攻擊使用了Go版本的惡意軟件。該惡意軟件首先由Palo Alto Networks于2018年10月記錄，隨后Kaspersky于2019年初再次發(fā)現(xiàn)。誘餌作為虛擬硬盤（VHD）文件的一部分提供，該文件要求受害者使用Windows 10訪問。

VHD文件一旦安裝，就會顯示為帶有兩個文件的外部驅(qū)動器，其中一個是PDF文件，據(jù)稱包含關(guān)于Sinopharm International Corporation（一家中國制藥公司）的幻燈片，該公司研制COVID-19疫苗在后期臨床試驗(yàn)中對病毒的有效預(yù)防率為86%。

第二個文件是一個可執(zhí)行文件，它偽裝成Word文檔，打開后運(yùn)行Zebrocy惡意軟件。

Intezer稱，他們還觀察到了一次針對哈薩克斯坦的單獨(dú)攻擊，攻擊者可能使用了網(wǎng)絡(luò)釣魚誘餌，冒充印度民航總局的撤離信。

近幾個月來，我們在野外多次發(fā)現(xiàn)了提供Zebrocy的網(wǎng)絡(luò)釣魚活動。

去年9月，ESET詳細(xì)介紹了Sofacy針對東歐和中亞國家外交部的攻擊活動。

今年8月早些時候，QuoIntelligence發(fā)現(xiàn)了一個針對阿塞拜疆政府機(jī)構(gòu)的單獨(dú)攻擊。攻擊者假借分享北約訓(xùn)練課程來分發(fā)Zebrocy Delphi變種。

Golang版本的Zebrocy后門也引起了美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的注意。該局在10月底發(fā)布了一份報告，表示：“該惡意軟件允許遠(yuǎn)程攻擊者在受損系統(tǒng)上執(zhí)行各種功能?！?/p>

為了阻止此類攻擊，CISA建議在使用可移動媒體、打開來自未知發(fā)件人的電子郵件和附件、掃描可疑電子郵件附件時要謹(jǐn)慎，并確保掃描附件的擴(kuò)展名與文件頭相匹配。

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/