Nazar APT

A Nazar hackercsoport egy nemrégiben feltárt APT (Advanced Persistent Threat). A rosszindulatú programok kutatói úgy vélik, hogy ez a hackercsoport a hírhedt APT37 része lehet. Ez utóbbi egy Kínában működő hackercsoport, amely Emissary Panda néven is ismert. 2017-ben kiszivárogtatott a Shadow Brokers hackercsoport, amely néhány érdekes részletet tartalmazott a Nazar APT tevékenységéről és hackelési arzenáljáról.

A Shadow Brokers kiszivárogtatása szerint a Nazar hackercsoport valószínűleg már egy évtizede aktív – 2010 óta. Úgy tűnik, hogy a Nazar APT célpontjainak többsége Iránban található. A Nazar APT működésének tíz éve alatt a hackercsoport frissítette eszköztárát, és gyakran rendszeresen váltogatta célpontjait. Legújabb hackereszközeik közé tartozik az EYService backdoor trójai, amely egy olyan fenyegetés, amely nagyon csendesen működik, és hosszabb ideig elkerülheti az észlelést. Az EYService trójai programot a Nazar APT iráni áldozatokat célzó kampányaiban használták. Ez a fenyegetés képes információkat gyűjteni, összetett felderítési műveleteket végrehajtani, és további rosszindulatú programokat telepíteni a fertőzött gazdagépre. Egyes kártevő-elhárító megoldások észlelésének elkerülése érdekében az EYService kártevő rakományát törvényes segédprogramok, valamint nyilvánosan elérhető hackereszközök segítségével elhomályosították. Ez egy olyan trükk, amelyet számos internetes szélhámos használ világszerte.

Annak ellenére, hogy a Nazar hackercsoport több mint egy évtizede aktív, nem sok információ áll rendelkezésre kampányaikról és célpontjairól. Úgy tűnik, hogy ez az APT inkább távol tartja magát a rivaldafénytől és óvatosan a szálaktól. Valószínű, hogy a malware-kutatók a jövőben többet megtudhatnak ezekről a kiberbűnözőkről és motivációikról.