俄罗斯黑客组织使用COVID-19作为诱饵传递恶意软件

原文《俄罗斯 APT28 黑客组织使用 COVID-19 作为诱饵传递 Zebrocy 恶意软件》

一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。

网络安全公司Intezer将这一行动与APT28（又名Sofacy、Sednit、Fancy Bear或STRONTIUM）联系起来，并表示，这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy（或Zekapab）恶意软件的Go版本。这些活动是上个月底观察到的。

Zebrocy主要通过网络钓鱼进行攻击，该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。

该恶意软件的幕后攻击者于2015年被发现，并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy（又名Sandworm）的继承者，这表明攻击者与Sofacy和GreyEnergy都有关联。

它充当后门和下载程序，能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令，然后将这些命令过滤到攻击者控制的服务器上。

虽然Zebrocy最初是用Delphi（称为DelPHOCY）编写的，但此后已用五六种语言来实现，包括AutoIT、C++、C#、GO、Python和VB.NET。

本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录，随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘（VHD）文件的一部分提供，该文件要求受害者使用Windows 10访问。

VHD文件一旦安装，就会显示为带有两个文件的外部驱动器，其中一个是PDF文件，据称包含关于Sinopharm International Corporation（一家中国制药公司）的幻灯片，该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。

第二个文件是一个可执行文件，它伪装成Word文档，打开后运行Zebrocy恶意软件。

Intezer称，他们还观察到了一次针对哈萨克斯坦的单独攻击，攻击者可能使用了网络钓鱼诱饵，冒充印度民航总局的撤离信。

近几个月来，我们在野外多次发现了提供Zebrocy的网络钓鱼活动。

去年9月，ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。

今年8月早些时候，QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。

Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局（CISA）的注意。该局在10月底发布了一份报告，表示：“该恶意软件允许远程攻击者在受损系统上执行各种功能。”

为了阻止此类攻击，CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎，并确保扫描附件的扩展名与文件头相匹配。

消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/