Nazar APT

Grupa hakerska Nazar jest niedawno odkrytym APT (Advanced Persistent Threat). Badacze złośliwego oprogramowania uważają, że ta grupa hakerów może być częścią niesławnego APT37. Ta ostatnia to grupa hakerska z siedzibą w Chinach, znana również pod pseudonimem Emissary Panda. W 2017 r. doszło do przecieku grupy hakerskiej Shadow Brokers, która zawierała kilka interesujących szczegółów na temat aktywności i arsenału hakerskiego APT Nazar.

Według przecieku Shadow Brokers, grupa hakerska Nazar prawdopodobnie działa już od dekady – od 2010 roku. Większość celów APT Nazar wydaje się znajdować w Iranie. W ciągu dziesięciu lat aktywności APT Nazar grupa hakerska zaktualizowała swój arsenał narzędzi i często regularnie zmieniała cele. Wśród ich najnowszych narzędzi hakerskich jest trojan typu backdoor EYService, który jest zagrożeniem, które działa bardzo cicho i może unikać wykrycia przez dłuższy czas. Trojan EYService był wykorzystywany w kampaniach Nazar APT wymierzonych w ofiary z Iranu. Zagrożenie to jest w stanie zbierać informacje, przeprowadzać złożone operacje rozpoznawcze i umieszczać dodatkowe złośliwe oprogramowanie na zainfekowanym hoście. Aby uniknąć wykrycia przez niektóre rozwiązania chroniące przed złośliwym oprogramowaniem, ładunek złośliwego oprogramowania EYService został zamaskowany przy pomocy legalnych narzędzi, a także publicznie dostępnych narzędzi hakerskich. Jest to sztuczka, z której korzysta wielu cyberprzestępców na całym świecie.

Pomimo faktu, że grupa hakerska Nazar działa od ponad dekady, niewiele jest dostępnych informacji na temat jej kampanii i celów. Wygląda na to, że ten APT woli ostrożnie trzymać się z dala od światła reflektorów i wątków. Jest prawdopodobne, że badacze szkodliwego oprogramowania będą mogli dowiedzieć się więcej o tych cyberprzestępcach i ich motywacjach w przyszłości.