Назар APT

Хакерската група Nazar е наскоро разкрита APT (Advanced Persistent Threat). Изследователите на злонамерен софтуер смятат, че тази хакерска група може да е част от прословутия APT37. Последният е хакерска група, базирана в Китай, която също е известна под псевдонима Emissary Panda. През 2017 г. имаше изтичане на информация от хакерската група Shadow Brokers, която включваше някои интересни подробности за дейността и хакерския арсенал на Nazar APT.

Според изтичането на информация от Shadow Brokers, хакерската група Nazar вероятно е активна вече десетилетие – още от 2010 г. Повечето от целите на Nazar APT изглежда се намират в Иран. През десетте години, през които Nazar APT е активен, хакерската група актуализира своя арсенал от инструменти и често сменя целите си редовно. Сред най-новите им инструменти за хакване е троянският конец EYService , който е заплаха, която работи много тихо и може да избегне откриването за продължителни периоди. Троянският кон EYService беше използван в кампаниите на Nazar APT, насочени към ирански жертви. Тази заплаха е в състояние да събира информация, да извършва сложни разузнавателни операции и да поставя допълнителен зловреден софтуер върху заразения хост. За да се избегне откриването от някои решения за защита от злонамерен софтуер, полезният товар на зловредния софтуер EYService е обфусциран с помощта на легитимни помощни програми, както и публично достъпни инструменти за хакване. Това е трик, който използват многобройни кибер мошеници по целия свят.

Въпреки факта, че хакерската група Nazar е активна повече от десетилетие, няма много информация за техните кампании и цели. Изглежда, че този APT предпочита да стои далеч от светлината на прожекторите и да работи внимателно. Вероятно изследователите на зловреден софтуер ще могат да научат повече за тези кибер мошеници и техните мотиви в бъдеще.