APT28 использует один и тот же троян, написанный на разных языках программирования
Группировка использует для создания своих троянов несколько языков программирования с целью усложнить их обнаружение.
Киберпреступная группировка APT28 (также известна как Fancy Bear) создала множество версий своего трояна Zebrocy на разных языках программирования, вероятно, с целью затруднить обнаружение вредоносной активности. Специалисты подразделения Unit42 компании Palo Alto Networks обнаружили вариант Zebrocy, написанный на языке Go и использовавшийся в нескольких фишинговых кампаниях. По их словам, также существуют идентичные по функционалу варианты трояна, написанные на AutoIt, Delphi, VB.NET, C# и Visual C++.
«Мы не можем утверждать с уверенностью, но скорее всего, группа использует для создания своих троянов несколько языков с целью сделать их разными по структуре и внешним признакам, чтобы их труднее было обнаружить», — пишут исследователи.
Zebrocy представляет собой вредоносное ПО, создающее на атакуемой системе бэкдор, который может использоваться в разных целях, в том числе для шпионажа. В последнее время группировка APT28, часто связываемая с российскими спецслужбами, стала активнее использовать троян в своих кампаниях.
Вариант Zebrocy на языке Go был замечен в двух разных кампаниях. Одна из них была зафиксирована 11 октября нынешнего года. Злоумышленники рассылали фишинговые письма на русском языке, в теме которых значилось: «Влияние санкций США на российскую экономику». В письмах содержался вредоносный документ, устанавливавший на компьютер жертвы троян Zebrocy. По словам исследователей, кампания оказалась провальной из-за допущенной злоумышленниками ошибки в коде.
Go-версия трояна также использовалась в атаках на госучреждения в Северной Америке, странах постсоветского пространства и в Европе. Злоумышленники рассылали фишинговые письма с вредоносным документом Microsoft Word. Документ требовал от жертвы включить макросы, после чего на ее компьютер устанавливался Zebrocy.