I ricercatori di ESET hanno individuato nuovi malware della famiglia Zebrocy. Questi sono usati dal noto gruppo di hacker Sednit, noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM.
Il gruppo è operativo almeno dal 2004 e negli ultmi anni ha fatto parlare di sè per alcuni attacchi di alto profilo, come quello negli Stati Uniti. Sednit è accusato negli ultimi anni di essere responsabile della violazione al Democratic National Committee (DNC) poco prima delle elezioni. Si presume inoltre che il gruppo sia dietro l’hacking della rete televisiva TV5Monde, la perdita di e-mail dell’Agenzia mondiale antidoping (WADA) e a molti altri attacchi.
Sednit prende di mira Ambasciate e Ministeri degli Affari Esteri
Gli obiettivi del gruppo sono Ambasciate e Ministeri degli Affari Esteri nei paesi dell’Europa orientale e dell’Asia centrale. A fine agosto, sembra che Sednit abbia lanciato un’altro attacco attraverso nuovi componenti della famiglia di malware Zebrocy.
Il sistema di infezione è piuttosto evidente, ed inizia con un email di pishing. Quando un dispositivo è infetto da Zebrocy, la vittima ha almeno sei componenti dannosi rilasciati sul computer prima dell’esecuzione del payload finale. Tali attività possono facilmente innescare diversi campanelli di allarme nell’antivirus installato sul dispositivo.
I documenti in allegato all’email che viene ricevuto è vuoto, ma appena aperto inizia il download di worddata.dotm. Esso altro non è che un downloader che serve ad aprire altri file in successione. Gli operatori di Sednit hanno utilizzato in passato numerosi downloader scritti in diverse linguaggi. Questa “campagna” ne impiega la versione più recente, il Nim.
La nuova backdoor di Zebrocy non è scritta come al solito in Delphi, ma in Golang. Si tratta della prima volta che viene rilevata questa backdoor, che risulta comunque molto simile a quella di Delphi. Naturalmente, questa nuova backdoor ha varie funzionalità, tra cui la manipolazione dei file, modifica ed eliminazione, funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.
Tuttavia, secondo ESET questa nuova “campagna” non è una novità. Nel report si legge: “Osservandolo, sembra che il gruppo Sednit stia eseguendo il porting del codice originale o lo stia implementando in altri linguaggi nella speranza di eludere più efficacemente i sistemi di rilevamento.” ESET consiglia a tutti gli utenti di prestare la massima attenzione prima di aprire gli allegati ad email sospette.
