I ricercatori di ESET hanno rivelato i nuovi componenti di Zebrocy, malware utilizzati da Sednit, gruppo operativo dal 2004 e conosciuto per attacchi di alto profilo. Nel mirino in particolare Ambasciate e Ministeri degli affari esteri nei paesi dell’Europa orientale e dell’Asia centrale, contro i quali a fine agosto il gruppo, conosciuto anche come APT28, Fancy Bear, Sofacy o Strontium, ha lanciato una nuova campagna attraverso nuovi componenti della famiglia di malware Zebrocy.
Quando un dispositivo viene preso di mira dai componenti di Zebrocy, il processo è di solito piuttosto evidente, poiché la vittima ha almeno sei componenti dannosi rilasciati sul computer prima dell’esecuzione del payload finale. Tali attività possono facilmente innescare diversi campanelli di allarme per un prodotto di sicurezza. Il documento allegato all’email di phishing è vuoto ma fa riferimento a un modello remoto, wordData.dotm, ospitato su Dropbox. L’apertura di questo documento in Word comporta il download di wordData.dotm e la sua integrazione nell’ambiente di lavoro del documento associato, incluso qualsiasi contenuto attivo presente nel modello.
Gli operatori di Sednit hanno utilizzato in passato numerosi downloader scritti in diverse linguaggi. Ad esempio la campagna citata impiega il Nim, la versione più recente:i un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui però sono stati aggiunti due piccoli dettagli. Il primo è probabilmente usato come trucco anti-sandbox e verifica che la prima lettera del file eseguito (lettera l qui o 0x6C in esadecimale) non sia stata cambiata. Il secondo è un tipo di offuscamento in cui l’operatore sostituisce le lettere “placeholder” in una stringa con quelle corrette, a offset definiti.
La nuova backdoor di Zebrocy non è scritta come al solito in Delphi, ma in Golang. Si tratta della prima volta che viene rilevata questa backdoor, che risulta comunque molto simile a quella di Delphi. Questa nuova backdoor ha varie funzionalità, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.
Il gruppo Sednit è dunque sempre attivo e continua a migliorare i suoi componenti. Ma si tratta di reali novità? Non proprio. Osservandolo, infatti, sembra che Sednit stia eseguendo il porting del codice originale o lo stia implementando in altri linguaggi nella speranza di eludere più efficacemente i sistemi di rilevamento. Il sistema di compromissione iniziale rimane invariato, ma l’utilizzo di un servizio come Dropbox per scaricare un modello remoto è insolito per il gruppo. Da ESET quindi il consiglio di prestare massima attenzione prima di aprire mail sospette e i documenti ad esse allegati.