ESET попереджає про нову активність сімейства шкідливих програм Zebrocy
ESET попереджає про нову активність сімейства шкідливих програм Zebrocy
ESET попереджає про нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sednit. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.
Група кіберзлочинців Sednit, яка відома своїми атаками щонайменше з 2004 року, продовжує вдосконалювати шкідливий інструментарій Zebrocy. Зокрема, зловмисники використовували мову програмування Nim у власному завантажувачі. Також кіберзлочинці Sednit удосконалили Golang-завантажувач та переписали бекдор з мови Delphi на Golang.
Вектором зараження жертв цього разу стали фішингові електронні повідомлення з шкідливими вкладеннями. Після відкриття файлів на комп'ютер користувача завантажується щонайменше шести шкідливих компонентів, які у результаті запускають новий бекдор. Ця шкідлива програма написана мовою Golang, а не Delphi, як уже відомий бекдор Sednit. Однак обидві загрози мають багато спільного.
Наприклад, новий бекдор також може створювати, модифікувати та видаляти файли, здійснювати знімки екрана, а також робити перелік зовнішніх накопичувачів. Хоча бекдор має дуже обмежений набір команд, можливість виконання довільних команд через cmd.exe дає змогу збирати інформацію з комп'ютера жертви.
Поява нових завантажувачів і нового бекдору свідчить про те, що група активно вдосконалює власний шкідливий інструментарій. Зокрема, Sednit переписує оригінальний код іншими мовами, щоб уникнути виявлення. Початковий вектор зараження залишається незмінним, Однак використання Dropbox для завантаження віддаленого шаблону є незвичайним для цієї групи кіберзлочинців.
У зв'язку з поширенням загрози фахівці ESET рекомендують користувачам бути уважними під час відкриття підозрілих вкладень електронної пошти та дотримуватися основних рекомендацій для захисту від фішингових атак.
Варто зазначити, що дослідники ESET продовжують спостерігати за активністю Sednit і публікуватимуть матеріали у разі виявлення нової інформації про подальші атаки.
