ИБ-эксперт идентифицировал APT из дампа The Shadow Brokers

Исследователь безопасности Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade) рассказал об идентифицированной им APT-группировке, которая упоминается в коллекции хакерских инструментов Агентства национальной безопасности (АНБ), обнародованной The Shadow Brokers.

В 2017 году The Shadow Brokers взломали серверы группировки Equation Group, подозреваемой в связи с АНБ, и опубликовали в открытом доступе некоторые инструменты (вредоносное ПО, эксплоиты и инструменты для взлома) и информацию из арсенала авторов Stuxnet и Duqu.

Среди опубликованных данных также был обнаружен файл sigs.py, содержащий 44 сигнатуры для обнаружения вредоносных программ, используемых киберпреступниками. Герреро-Сааде удалось идентифицировать группировку, указанную под номером 37, хотя ранее специалисты предполагали, что под данной сигнатурой подразумевается китайская группировка Iron Tiger.

По словам специалиста, киберпреступная группировка, которую он назвал Nazar (на основе строки, найденной в коде вредоносного ПО), базируется в Иране, а ее активность прослеживается до 2008 года. Эксперту также удалось выявить жертв данной группировки, до сих пор зараженных ее вредоносным ПО. Примечательно, что жертвы преступников располагаются исключительно в Иране.

Nazar использовал модульный инструментарий с загрузчиком, предназначенным для незаметной регистрации нескольких DLL-библиотек в качестве OLE-элементов управления в реестре Windows через «regsvr32.exe». Загрузчики создавались с помощью уже несуществующего программного обеспечения Chilkat, а Zip2Secure использовался для создания самораспаковывающихся исполняемых файлов. Вредоносное ПО использовало библиотеки для cоздания скриншотов, записи данных через микрофон и кейлоггинга.