Компания ESET — лидер в области информационной безопасности — продолжает исследовать вредоносное программное обеспечение Zebrocy группы киберпреступников Sednit. Целями атак Zebrocy становятся посольства и министерства иностранных дел, расположенные в Центральной Азии, а также в странах Центральной и Восточной Европы. Для распространения этой угрозы, как и ранее, группа Sednit использует фишинговые электронные письма.
Занимаясь преступной активностью по меньшей мере с 2004 года, кибершпионы Sednit осуществляют сложные атаки, направленные на похищение конфиденциальной информации. В частности, группа причастна к атакам на глобальную телевизионную сеть TV5Monde, Всемирное антидопинговое агентство (WADA), а также другие организации.
Для этого кибершпионы Sednit применяют разнообразный набор инструментов. Одним из таких является вредоносное программное обеспечение Zebrocy, которое киберпреступники активно используют в течение последних двух лет.
В августе 2018 операторы Sednit развернули два новых компоненты Zebrocy, а активность угрозы возросла. Это вредоносное программное обеспечение состоит из загрузчиков MSIL и Delphi, дроппер Delphi и бэкдоров. Пока загрузчики и Дроппер проводят разведку, бэкдоры активно следят за целью. Новые компоненты используют необычный способ перехвата собранной информации с помощью протоколов, связанных с почтовыми службами, такими как SMTP и POP3.
Еще раньше специалисты ESET обнаружили сходство между Zebrocy и другими вредоносными программами группы Sednit. Также исследователи ESET зафиксировали факт загрузки угрозой Zebrocy флагманского бэкдора Sednit — XAgent. Однако обнаруженные ошибки при анализе бинарных файлов компонентов Zebrocy указывают на разный уровень опыта в разработке этого набора инструментов. Хотя Sednit управляет этим вредоносным программным обеспечением, специалисты ESET уверены, что разрабатываются они не этой группой, а другой менее опытной командой.
При этом компоненты Zebrocy являются важным дополнением к набору инструментов Sednit. В частности, исследователи ESET заметили рост использования вредоносного программного обеспечения Zebrocy по сравнению с другими инструментами Sednit.
В связи с возможной опасностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям использовать надежные антивирусные решения и придерживаться основных правил безопасности для защиты от фишинг-атак.
Более подробная информация о новых компонентах Zebrocy доступна по ссылке.