【安全资讯】俄罗斯APT28组织使用COVID-19诱饵文档分发Zebrocy

研究人员在11月份发现了Go版本的Zebrocy恶意软件，Zebrocy是通过COVID-19网络钓鱼诱饵进行分发的。Zebrocy是 APT28组织所使用的恶意软件， 主要用于对付从事外交事务的政府和商业组织。攻击者似乎已从Delphi版本的Zebrocy切换到11月中旬使用的Go版本。

钓鱼诱饵包括有关国药国际公司的文件，国药国际公司是一家正在生产COVID-19疫苗的制药公司，目前正在进行三期临床试验，还有民航总局的假冒撤离信。

国药国际有限公司是一家中国药品制造商。它是中国目前正在研发COVID-19疫苗的公司之一。他们的疫苗目前正在接受第三阶段的临床试验，但已经提供给近一百万人。 

钓鱼诱饵是作为虚拟硬盘（VHD）文件的一部分提供的，该文件要求受害者使用Windows 10访问这些文件。如果用户双击该文件，则Windows将安装该驱动器，并显示为外部硬盘驱动器。下图显示了VHD的内容。

VHD文件的包含两个文件：一个PDF文件和一个伪装成Microsoft Word文档的可执行文件。

PDF文件包含有关国药控股国际公司的演示幻灯片。下图显示了第一张幻灯片的截图。

第二个文件是恶意软件。由于Windows默认会隐藏已知的文件扩展名，用户很容易被欺骗，以为它是Word文档，该恶意软件主要用于收集用户信息。

根据时间戳，VHD是在域（support-cloud[.]life）注册后的第二天，也就是10月21日创建的。该域在同一天被用于对哈萨克斯坦政府部门的鱼叉式网络钓鱼攻击中。第二天将VHD文件上传到VirusTotal。在11月11日，相同的VHD文件被重用，但诱饵和有效负载已更改。第二天，该版本的VHD被上传到VirusTotal。通过将此逻辑，我们认为国药诱饵的VHD文件在11月20日左右使用。

结论：

Zebrocy是APT28组织使用的恶意软件工具集。这些网络钓鱼诱饵说明以COVID-19为主题的攻击仍然是主要威胁，随着各大公司向公众提供疫苗，未来可能会看到更多类似的攻击。

公司应确保对员工进行了有关检测网络钓鱼和处置方法的培训。网络钓鱼并非总是源自外部的电子邮件地址，它们也可能来自企业内部的受感染帐户。