مجموعات من القراصنة الروس المعروفين بالأسماء التالية APT28 و Fancy Bear و Sofacy و Sednit و STRONTIUM ، تقف وراء حملة هجوم تستهدف الهيئات الحكومية.
قام القراصنة باستخدام برامج ضارة يصعب اكتشافها مثل Zebrocy Delphi بحجة توفير مواد تدريب من الناتو. من جهتهم، فحص الباحثون الملفات التي تحتوي على الحمولة واكتشفوا ملفات JPG منتحلة ومزورة تعرض صور الناتو عند فتحها على جهاز كمبيوتر.
القراصنة الروس ينتحلون شخصية مواد تدريب الناتو
في أغسطس من هذا العام، أبلغ فريق Qi’anxin Red Raindrops عن اكتشاف حملة APT28 التي قدمت برنامج Zebrocy الخبيث متخفيا كمواد دورة تدريبية لحلف الناتو.
ومع ذلك، فإن شركة QuoIntelligence لاستخبارات التهديدات قد نبهت عملائها في القطاع الحكومي من هذه الحملة في وقت مبكر منذ 8 أغسطس، قبل الإعلان عن المعلومات المتعلقة بالحملة.
الملف الخبيث الذي وزعته APT28 هو بعنوان “الدورة 5 – 16 أكتوبر 2020.zipx”. وبطبيعة الحال، بالنسبة للمستخدم المطمئن، يبدو أن هذه حزمة ZIP تحتوي على مواد الدورة التدريبية.
ولكن عند إعادة تسميته إلى “.jpg” ، يتصرف أرشيف ZIP تقريباً مثل ملف صورة شرعي. هذا لأنه، كما أوضح باحثو QuoIntelligence، يشتمل الملف على صورة JPG شرعية مع أرشيف ZIP ملحق بها.
ويوضح الباحثون أن “هذه التقنية تعمل لأن ملفات JPEG يتم تحليلها من بداية الملف وتقوم بعض تطبيقات Zip بتحليل ملفات Zip من نهاية الملف (نظراً لوجود الفهرس هناك) من دون النظر إلى التوقيع الموجود في المقدمة”.
بالنسبة إلى التحليلات التي أجراها كل من فريق Qi’anxin Red Raindrops و QuoIntelligence ، كان لعينة البرامج الضارة معدل اكتشاف منخفض جداً يبلغ 3/61 على VirusTotal.
يسرق ويحمل البيانات الخاصة إلى الخادم
Zebrocy الذي تستخدمه هذه الحملة، هو عدوى من البرامج الضارة وباب خلفي معروف بقدراته المتعددة، مثل استطلاع النظام، وإنشاء الملفات وتعديلها، والتقاط لقطات للشاشة على الجهاز المصاب، وتنفيذ الأوامر العشوائية، وإنشاء مهام مجدولة في Windows.
ومن المعروف أيضاً أن العينة تقوم بإسقاط ملفات متعددة على نظام مصاب مما يجعلها “نشطة جداً” حيث أن أنشطتها تثير إنذارات المنتجات الأمنية الرائدة.