Nazar APT

De Nazar-hackgroep is een onlangs ontdekte APT (Advanced Persistent Threat). Malware-onderzoekers denken dat deze hackgroep mogelijk deel uitmaakt van de beruchte APT37. Dat laatste is een in China gevestigde hackgroep, die ook bekend staat onder de alias Emissary Panda. In 2017 was er een lek door de hackgroep Shadow Brokers, met daarin enkele interessante details over de activiteit en het hackarsenaal van de Nazar APT.

Volgens het Shadow Brokers-lek is de Nazar-hackgroep waarschijnlijk al tien jaar actief - sinds 2010. De meeste doelen van de Nazar APT lijken zich in Iran te bevinden. In de tien jaar dat de Nazar APT actief is, heeft de hackgroep haar arsenaal aan tools geüpdatet en vaak regelmatig van doelwit gewisseld. Een van hun nieuwste hacktools is de EYService backdoor Trojan, een bedreiging die zeer stil werkt en detectie gedurende langere perioden kan vermijden. De EYService Trojan werd gebruikt in de Nazar APT-campagnes gericht op Iraanse slachtoffers. Deze dreiging is in staat om informatie te verzamelen, complexe verkenningsoperaties uit te voeren en extra malware op de geïnfecteerde host te plaatsen. Om detectie door sommige anti-malwareoplossingen te voorkomen, is de payload van de EYService-malware versluierd met behulp van legitieme hulpprogramma's en openbaar beschikbare hacktools. Dit is een truc die talloze cybercriminelen wereldwijd gebruiken.

Ondanks het feit dat de hackgroep Nazar al meer dan tien jaar actief is, is er niet veel informatie beschikbaar over hun campagnes en doelen. Het lijkt erop dat deze APT er de voorkeur aan geeft om voorzichtig uit de schijnwerpers te blijven. Het is waarschijnlijk dat malware-onderzoekers in de toekomst meer te weten zullen komen over deze cybercriminelen en hun beweegredenen.