俄APT28工具被破解，其目標東移至亞洲

ESET安全研究人員深入分析了俄羅斯黑客組織APT28在過去幾年中大量使用的工具之一Zebrocy。

這款名為Zebrocy的工具是攻擊的第一階段所用的惡意軟體，由Delphi下載器，AutoIt下載器和Delphi後門組成。用於在多種攻擊中充當後門Xagent的下載程序。

APT28也被稱為FancyBear, Pawn Storm, Sednit, 或Strontium（看看這些命名差異太大了~！），自2007年左右開始活躍，專註於網路間諜活動，並且襲擊了全球的多個政府，軍隊和國防組織目標。

Sofacy參與了2016年美國總統選舉的背後攻擊，而近期已將焦點轉移到亞洲目標。

Sofacy第一階段工具Seduploader和Zebrocy惡意軟體，已用於襲擊亞塞拜然，波士尼亞赫塞哥維納，埃及，喬治亞，伊朗，哈薩克，韓國，吉爾吉斯斯坦，沙烏地阿拉伯，塞爾維亞，瑞士，塔吉克，土耳其，土庫曼，烏克蘭，烏拉圭和辛巴威。

惡意郵件附件

Zebrocy通常通過帶有惡意附件的電子郵件傳遞，誘騙用戶打開它們。這些附件是通過VBA宏，漏洞，利用程序或動態數據交換（DDE）傳遞有效負載的Microsoft Office文檔，或包含帶有圖標和文檔類文件名的可執行文件。

AutoIT腳本

一旦執行惡意附件，Zebrocy家族的第一階段就會執行：一個Delphi下載器（在某些攻擊中直接使用AutoIt腳本）。下載器通常使用文檔或Windows庫圖標進行偽裝，某些示例使用UPX打包。

啟動時，惡意軟體會顯示一個帶有錯誤消息的啟動窗口，以分散用戶注意力。然而，在後台，惡意軟體會在「％TEMP％」下放置一個文件並添加一個Windows註冊表以實現駐留。

它還收集系統的信息，並通過HTTP POST請求將其發送到命令和控制（C＆C）伺服器。

如果目標被認為是感興趣的，C＆C會回復下一階段的AutoIt下載程序，該程序充當偵察階段的另一層。

該工具可以檢測沙箱和虛擬環境，並檢索系統信息，例如：已安裝軟體列表，Windows版本（32位或64位），進程列表，硬碟驅動器信息和屏幕截圖以及有關計算機的各種詳細信息，使用Windows Management Instrumentation（WMI）對象收集。

Delphi後門是Zebrocy組件鏈的最後一個階段，它有一個內部版本號，和配置數據，例如：用於C＆C通信的AES密鑰，URL，惡意軟體版本，持久性Windows註冊表項/值，存儲臨時文件的路徑以及要創建用於存儲臨時文件的隱藏目錄的名稱。

一旦設置，惡意軟體通過Windows API函數SetTimer執行回調函數，允許攻擊者處理功能和命令：截取桌面，捕獲按鍵，列出驅動器/網路資源，讀/寫Windows註冊表，複製/移動/刪除文件系統對象，執行文件或創建計劃任務。

後門支持大約30條命令，每個命令都有所不同。出於通信目的，惡意軟體將這些功能的報告存儲在臨時文件中，然後將文件內容發送到C＆C。

Zebrocy可能存在另一個用Delphi編寫的惡意軟體組件的變種，Sofcot，也被稱為Downdelph。研究人員指出，該工具最後在2015年9月出現，在Zebrocy出現前兩個月，兩個惡意軟體家族也使用類似的部署方法。

ESET：「我們已經發現過去兩年中大量Zebrocy被使用。我們對自2017年以來定期出現的許多新變種的分析清楚地表明，Zebrocy正由其作者積極維護和改進。我們可以將其視為Sednit工具庫中穩定，成熟的工具之一，該工具值得密切關注。「

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！