Tin An Ninh Mạng

Tin tặc Nga giấu phần mềm độc hại Zebrocy trong ổ cứng ảo

hacker 8
Các tin tặc Nga đứng sau phần mềm độc hại Zebrocy đã thay đổi kỹ thuật lây nhiễm phần mềm độc hại tới các nạn nhân là những người nổi tiếng và đóng gói Zebrocy trong Ổ cứng ảo (VHD) để tránh bị phát hiện.

{

}

Capture.JPG

Kỹ thuật này được phát hiện trong các chiến dịch lừa đảo gần đây của nhóm APT28 (tên khác: Fancy Bear, Sofacy, Strontium, Sednit) để lây nhiễm các hệ thống mục tiêu bằng một biến thể của bộ công cụ Zebrocy.

Khó phát hiện hơn các biến thể Zebrocy mới

Zebrocy được phát triển từ nhiều ngôn ngữ lập trình (AutoIT, C ++, C #, Delphi, Go, VB.NET). Trong các chiến dịch gần đây, tin tặc đã chọn phiên bản dựa trên Golang thay vì phiên bản Delphi phổ biến hơn.

Windows 10 hỗ trợ các tệp VHD và có thể gắn (mount) chúng dưới dạng ổ đĩa ngoài, cho phép người dùng xem các tệp bên trong. Năm 2019, các nhà nghiên cứu đã phát hiện các engine diệt virus không kiểm tra nội dung VHD cho đến khi hình ảnh đĩa được gắn vào.

Cuối tháng 11/2020, các nhà nghiên cứu tại Intezer đã phát hiện một file VHD được tải lên Virus Total từ Azerbaijan. Bên trong hình ảnh là một tệp PDF và malware Zebrocy giả dạng tài liệu Microsoft Word.

ZebrocyVHDcontent_2.jpg

Nội dung tệp PDF trình bày về tập đoàn quốc tế Sinopharm, một công ty dược phẩm của Trung Quốc hiện đang trong giai đoạn ba thử nghiệm vắc xin COVID-19.

Biến thể Zebrocy trong tệp VHD là một biến thể mới khó bị phát hiện trên Virus Total. Ngày 30/11, chỉ có 9 trên 70 engine phát hiện được phần mềm độc hại này.

ZebrocyVHD_VT_3.jpg

Tuy nhiên, phân tích của Intezer cho thấy Zebrocy giống với một biến thể Delphi được sử dụng một năm trước trong chiến dịch nhắm vào mục tiêu tại Azerbaijan.

Tệp VHD được sử dụng trong các chiến dịch khác

Dựa trên các manh mối trong file VHD chứa mã độc, các nhà nghiên cứu phát hiện kẻ tấn công đã thực hiện các chiến dịch tương tự ít nhất là kể từ tháng 10.

Các hình ảnh đĩa khác được sử dụng làm mồi nhử lừa đảo đã được tải lên Virus Total, một trong số đó vào ngày 12/11 từ Kazakhstan và một ảnh khác vào ngày 21/10.

Cả hai hình ảnh VHD đều bao gồm một mẫu Zebrocy mạo danh tài liệu Microsoft Word và một tệp PDF. Cả hai đều có chung một đĩa ID.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !