Home Portale BitMat Portale Focus On Zebrocity: scoperti nuovi componenti della famiglia di malware

Zebrocity: scoperti nuovi componenti della famiglia di malware

-

Tempo di lettura: 3 minuti

Noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM, il malware Zebrocy è operativo almeno dal 2004. Recentemente i ricercatori di ESET hanno individuato nuovi componenti della famiglia di malware utilizzata dal famigerato gruppo Sednit. Negli ultimi anni questo gruppo è spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento di Giustizia degli Stati Uniti ha accusato il gruppo di essere responsabile della violazione al Democratic National Committee (DNC) poco prima delle elezioni degli Stati Uniti. Si presume inoltre che il gruppo sia dietro l’hacking della rete televisiva globale TV5Monde, la perdita di e-mail dell’Agenzia mondiale antidoping (WADA) e a molti altri attacchi.

A fine agosto, il gruppo ha lanciato una nuova campagna destinata ai loro classici obiettivi – ovvero ambasciate e ministeri degli affari esteri nei paesi dell’Europa orientale e dell’Asia centrale – attraverso nuovi componenti della famiglia di malware Zebrocy.

Un complicato sistema di infezione

Quando un dispositivo viene preso di mira dai componenti di Zebrocy, il processo è di solito piuttosto evidente, poiché la vittima ha almeno sei componenti dannosi rilasciati sul computer prima dell’esecuzione del payload finale. Tali attività possono facilmente innescare diversi campanelli di allarme per un prodotto di sicurezza.

Il documento allegato all’email di phishing è vuoto ma fa riferimento a un modello remoto, wordData.dotm, ospitato su Dropbox. L’apertura di questo documento in Word comporta il download di wordData.dotm e la sua integrazione nell’ambiente di lavoro del documento associato, incluso qualsiasi contenuto attivo presente nel modello.

I downloader

Gli operatori di Sednit hanno utilizzato in passato numerosi downloader scritti in diverse linguaggi. Questa campagna ne impiega la versione più recente, il Nim. SI tratta di un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui però sono stati aggiunti due piccoli dettagli. Il primo è probabilmente usato come trucco anti-sandbox e verifica che la prima lettera del file eseguito (lettera l qui o 0x6C in esadecimale) non sia stata cambiata. Il secondo è un tipo di offuscamento in cui l’operatore sostituisce le lettere “placeholder” in una stringa con quelle corrette, a offset definiti.

La nuova backdoor

La nuova backdoor di Zebrocy non è scritta come al solito in Delphi, ma in Golang. Si tratta della prima volta che viene rilevata questa backdoor, che risulta comunque molto simile a quella di Delphi. Questa nuova backdoor ha varie funzionalità, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.

Conclusioni

Nuovi downloader, nuova backdoor: il gruppo Sednit è sempre attivo e continua a migliorare i suoi componenti. Si tratta di effettive novità? Non proprio. Osservandolo, sembra che il gruppo Sednit stia eseguendo il porting del codice originale o lo stia implementando in altri linguaggi nella speranza di eludere più efficacemente i sistemi di rilevamento. Il sistema di compromissione iniziale rimane invariato, ma l’utilizzo di un servizio come Dropbox per scaricare un modello remoto è insolito per il gruppo.

ESET consiglia a tutti gli utenti di prestare la massima attenzione prima di aprire gli allegati ad email sospette.

Maggiori informazioni qui.

 

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Ecosistema FinTech italiano: prospettive post Covid-19

    Ecosistema FinTech italiano: prospettive post Covid-19

    Cresciuti dal 2016 al 2019 i finanziamenti alle startup attive nel settore, con un CAGR di oltre il 60%
    Civitanova Marche sceglie la cybersicurezza di Axitea

    Civitanova Marche sceglie la cybersicurezza di Axitea

    Tra i primi in Italia a implementare un piano esteso di sicurezza e monitoraggio, il comune punta a proteggere i dati sensibili dei cittadini
    CDP Venture Capital e Digital Magics insieme per l'innovazione

    CDP Venture Capital e Digital Magics insieme per l’innovazione

    Le due realtà partecipano a un round di investimento per oltre 3,5 milioni di euro a favore di 6 startup innovative italiane
    Reti e sicurezza: i pericoli del lavoro da remoto

    Reti e sicurezza: i pericoli del lavoro da remoto

    Priorità cambiate improvvisamente, scarsa visibilità di rete e mancanza di tempo
    Completata chiamata dati 5G a lungo raggio su rete commerciale USA con mmWave

    Completata chiamata dati 5G a lungo raggio su rete commerciale USA con mmWave

    U.S. Cellular, Qualcomm ed Ericsson hanno raggiunto la distanza di oltre 5 km e la velocità di oltre 100 Mbps