Nazar APT

קבוצת הפריצה של Nazar היא APT (Advanced Persistent Threat) שנחשף לאחרונה. חוקרי תוכנות זדוניות מאמינים שקבוצת הפריצה הזו עשויה להיות חלק מה-APT37 הידוע לשמצה. האחרונה היא קבוצת פריצה שבסיסה בסין, המוכרת גם תחת הכינוי שליח פנדה. בשנת 2017 הייתה הדלפה של קבוצת הפריצה Shadow Brokers, שכללה כמה פרטים מעניינים על הפעילות וארסנל הפריצות של Nazar APT.

לפי הדלפת Shadow Brokers, קבוצת הפריצה של Nazar פעילה ככל הנראה כבר עשור - מאז 2010. נראה שרוב המטרות של Nazar APT ממוקמות באיראן. בעשר השנים שבהן ה-Nazar APT פעיל, קבוצת הפריצה עדכנה את ארסנל הכלים שלה ולעתים קרובות החליפה את יעדיה באופן קבוע. בין כלי הפריצה החדשים ביותר שלהם הוא EYService Trojan דלת אחורית, שהוא איום שפועל בשקט מאוד ועשוי להימנע מזיהוי לאורך תקופות ממושכות. ה-EYService Trojan שימש בקמפיינים של Nazar APT המכוונים לקורבנות איראנים. איום זה מסוגל לאסוף מידע, לבצע פעולות סיור מורכבות ולשתול תוכנות זדוניות נוספות על המארח הנגוע. כדי למנוע זיהוי מכמה פתרונות נגד תוכנות זדוניות, מטען התוכנה הזדונית של EYService טופל בעזרת כלי עזר לגיטימיים, כמו גם כלי פריצה זמינים לציבור. זהו טריק שבו משתמשים נוכלי סייבר רבים ברחבי העולם.

למרות העובדה שקבוצת הפריצה של Nazar פעילה כבר למעלה מעשור, אין מידע רב על הקמפיינים והיעדים שלהם. נראה שה-APT הזה מעדיף להתרחק מאור הזרקורים ומהחוטים בזהירות. סביר להניח כי חוקרי תוכנות זדוניות יוכלו לגלות יותר על נוכלי הסייבר הללו ועל המניעים שלהם בעתיד.