APT28-Hacker nutzen COVID-19 als Köder für Malware - Admijalo Technology
Admijalo Blog :Hacker nutzen COVID-19 als Köder für Malware

APT28-Hacker nutzen COVID-19 als Köder für Malware

Ein russischer Akteur, der für seine Malware-Kampagnen bekannt ist, ist mit einem weiteren Angriff, bei dem COVID-19 als Phishing-Köder eingesetzt wird, wieder auf dem Bedrohungsradar aufgetaucht und zeigt einmal mehr, wie geschickt die Gegner die aktuellen Weltereignisse zu ihrem Vorteil nutzen.
In Verbindung mit einer Untergruppe von APT28 (auch bekannt als Sofacy, Sednit, Fancy Bear oder STRONTIUM) sagte die Cybersicherheitsfirma Intezer, dass die Phishing-E-Mails mit dem Thema Pandemie zur Verbreitung der Go-Version der Malware Zebrocy (oder Zekapab) eingesetzt wurden.
Zebrocy wird in erster Linie über Phishing-Angriffe bereitgestellt, die sowohl köderhafte Microsoft Office-Dokumente mit Makros als auch ausführbare Dateianhänge enthalten.
Erstmals 2015 endeckt, hat sich herausgestellt, dass sich die Betreiber hinter der Malware mit GreyEnergy überschneiden, einer Bedrohungsgruppe, von der angenommen wird, dass sie der Nachfolger von BlackEnergy alias Sandworm ist, was auf ihre Rolle als Untergruppe mit Verbindungen zu Sofacy und GreyEnergy hindeutet.
Es fungiert als Hintertür und Downloader, der in der Lage ist, Systeminformationen zu sammeln, Dateien zu manipulieren, Screenshots zu erstellen und bösartige Befehle auszuführen, die dann auf einen vom Angreifer kontrollierten Server exfiltriert werden.
Obwohl Zebrocy ursprünglich in Delphi geschrieben wurde, ist es seitdem in einem halben Dutzend Sprachen implementiert worden, darunter C++, C#, Python und VB.NET.
Diese spezielle Kampagne, die von Intezer entdeckt wurde, verwendet die Go-Version der Malware, die zuerst von Palo Alto Networks im Oktober 2018 und später von Kaspersky Anfang 2019 dokumentiert wurde. Der Köder wird als Teil einer VHD-Datei (Virtual Hard Drive) geliefert, für die die Opfer Windows 10 verwenden müssen, um auf die Dateien zuzugreifen.
Nach dem Einbinden erscheint die VHD-Datei als externes Laufwerk mit zwei Dateien, von denen eine ein PDF-Dokument ist, das angeblich Präsentationsfolien über die Sinopharm International Corporation enthält, ein in China ansässiges Pharmaunternehmen, dessen COVID-19-Impfstoff sich in klinischen Studien im Spätstadium als zu 86% wirksam gegen das Virus erwiesen hat.
Bei der zweiten Datei handelt es sich um eine ausführbare Datei, die sich als Word-Dokument tarnt und beim Öffnen die Zebrocy-Malware ausführt.
Phishing-Kampagnen von Zebrocy wurden in den letzten Monaten mehrfach beobachtet.

Jetzt kostenfreies Erstgespräch sichern!

Formular ausfüllen und unverbindliches Erstgespräch sichern.