加QQ81758415
快捷导航

Zebrocy:俄罗斯APT的受害者分析

2019-6-6 08:00| 发布者: xlbck| 查看: 83| 评论: 0|原作者: xlbck

摘要: 据卡巴斯基实验室的说法,它的作用是在其他团队部署其破坏性和间谍工具之前,在目标系统中获得初步立足点。

据卡巴斯基试验室的叫法,它的功效是在别的精英团队布署其毁灭性和特工专用工具以前,在总体目标系统软件中得到分步出发点。这一讲俄语的APT是Sofacy和BlackEnergy等备受瞩目的APT的适用工作组。

乌克兰威协机构Zebrocy与Sofacy和BlackEnergy APT拥有共同之处并重合,它再次在政府部门,外交事务和国防总体目标的普遍漫游中漫游。科学研究工作人员在近期的主题活动中发觉该组应用新的阶段恶意程序滴管,促进剖析为该机构在APT行业的功效出示了更深层次的案件线索。滴管先后取下该组的订制侧门。

卡巴斯基试验室的科学研究工作人员在星期一的 这项剖析中 表达,在近期的多次主题活动中,“Zebrocy用1个新的Nim下载器在全世界范围之内对相当于长的总体目标目录开展了绕弯子” ,并强调她们见到此项主题活动于4季节刚开始。总体目标地址包含法国和欧洲的美国。该集团公司更贴近Zebrocy的小区,总体目标是阿富汗,哈萨克斯坦,吉尔吉斯斯坦,塔吉克斯坦和土库曼斯坦。它还分別对于叙利亚和伊朗,南美,及其亚洲地区和非州的越南和坦桑尼亚。

适用工作组

卡巴斯基对Zebrocy的剖析显示信息,它专门从事受害人剖析和浏览,其根本原因追朔到2016年。它与BlackEnergy和Sofacy共享资源恶意程序钢件和共同之处,“提议做为1个子人群充分发挥适用功效”,科学研究工作人员表达。

分析表明,Zebrocy与Sofacy,别名Fancy Bear,Sednit或APT28共享了有限公司的基础设施建设,总体目标和权益,前者被普遍视作承担英国 2014年大选网络黑客的 主题活动。也有某些 恶意程序重合 。卡巴斯基试验室还表达,Zebrocy与 2014年年俄罗斯停电了恶性事件 身后的BlackEnergy共享了总体目标和恶意程序编码。

而且,科学研究工作人员强调“奇怪的是,Turla在2016年布署的spearphish宏基本上与之前的非公共性Zebrocy编码同样。”

依据卡巴斯基试验室的叫法,它的功效是在别的精英团队布署其毁灭性和特工专用工具以前,在总体目标系统软件中得到分步出发点。

科学研究工作人员表达,“相同的剖析和步骤枚举汇报个人行为早已再次开发设计并在Zebrocy侧门重新部署了5年左右”。“好几个订制的第四阶段植入物应用场景阶段全过程枚举实行凭据感受。”

她们填补说:“因为该团队好像在0 day工作能力和毁灭性BlackEnergy / Sandworm APT及其多产和0 day工作能力的Sofacy APT中维持了血系,这一课程内容十分趣味。”

恶意程序水果沙拉

Zebrocy将会与别的更大,更槽糕的APT重合,但它有自个的某些方法。它并不是涉及到0 day,只是倾向性于开发设计这种灵巧的恶意程序集,用以渔叉式垂钓主题活动。此自定恶意程序集也应用几种語言撰写。

“人们特别注意到Zebrocy编码的虚似水果沙拉被拼接一起,用少数几种語言搭建,常常从各种各样编码共享资源站名中删掉,”投资分析师说,并填补说这包含免费在线社区论坛和网址上共享资源的合理合法和恶意代码Github和Pastebin。

“依据剖析,这类不断拷贝/黏贴训练在俄语APT恶意程序中并不是常用。” “一样不不同寻常的是,这类Zebrocy恶意程序归类常常在多种语言上复建,一起还加上了新的恶意程序部件。”

科学研究工作人员表达,近期对其免费下载变体的转变清晰地说明Zebrocy恶意程序集仍在积极主动开发设计中,观查到的主题活动不断到2021年年5月中下旬。下载者的指纹识别和配置文件受害人显示屏爬取和系统软件信息内容搜集,以通告第五 - 环节凭据感受工作中。

“这种侧门还包含外界来源于包括的很多编码。卡巴斯基试验室的科学研究工作人员表达,她们还包含以往1年中早已传出的Zebrocy Go侧门,这种侧门维护保养了各种各样新项目字符串。她们还说,最新消息的载入器既意味着了对该组的C编号的重归,也意味着了用Nim語言拓展其武器库。

在搜集的信息内容被发送至指令和操纵(C5)网络服务器以后,总体目标系统软件接受对于该设备的订制的第四阶段植入物,便于从软件源查找凭据。至少某些最让人诧异。比如,卡巴斯基试验室观查到来源于亚洲地区个人工作室的CentBrowser和7Star等不为人知的订制Chromium版本号的感受。

简而言之,Zebrocy显而易见是在其每日任务中强大地纵横驰骋。

卡巴斯基试验室小结道:“它已经开展的主题活动说明了一直以来对获得总体目标互联网的服务承诺。” “这一最新消息的Nim编号提升了这一恶意程序集的连续不断提升的語言目录。人们将从Zebrocy到2021年年的政府部门和军​​事有关机构见到大量。“

参照连接:

https://threatpost.Com/zebrocy-russian-apt/145328/



鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )