APT28 использует один и тот же троян, написанный на разных языках программирования

image

Теги: APT 28, Zebrocy, троян, вредоносное ПО

Группировка использует для создания своих троянов несколько языков программирования с целью усложнить их обнаружение.

Киберпреступная группировка APT28 (также известна как Fancy Bear) создала множество версий своего трояна Zebrocy на разных языках программирования, вероятно, с целью затруднить обнаружение вредоносной активности.

Специалисты подразделения Unit42 компании Palo Alto Networks обнаружили вариант Zebrocy, написанный на языке Go и использовавшийся в нескольких фишинговых кампаниях. По их словам, также существуют идентичные по функционалу варианты трояна, написанные на AutoIt, Delphi, VB.NET, C# и Visual C++.

«Мы не можем утверждать с уверенностью, но скорее всего, группа использует для создания своих троянов несколько языков с целью сделать их разными по структуре и внешним признакам, чтобы их труднее было обнаружить», - пишут исследователи.

Zebrocy представляет собой вредоносное ПО, создающее на атакуемой системе бэкдор, который может использоваться в разных целях, в том числе для шпионажа. В последнее время группировка APT28 стала активнее использовать троян в своих кампаниях.

Вариант Zebrocy на языке Go был замечен в двух разных кампаниях. Одна из них была зафиксирована 11 октября нынешнего года. Злоумышленники рассылали фишинговые письма на русском языке, в теме которых значилось: «Влияние санкций США на российскую экономику». В письмах содержался вредоносный документ, устанавливавший на компьютер жертвы троян Zebrocy. По словам исследователей, кампания оказалась провальной из-за допущенной злоумышленниками ошибки в коде.

Go-версия трояна также использовалась в атаках на госучреждения в Северной Америке, странах постсоветского пространства и в Европе. Злоумышленники рассылали фишинговые письма с вредоносным документом Microsoft Word. Документ требовал от жертвы включить макросы, после чего на ее компьютер устанавливался Zebrocy.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.