Назар АПТ

Хакерская группа Nazar — это недавно обнаруженная APT (Advanced Persistent Threat). Исследователи вредоносных программ считают, что эта хакерская группа может быть частью печально известной APT37. Последняя представляет собой базирующуюся в Китае хакерскую группу, также известную под псевдонимом Emissary Panda. В 2017 году произошла утечка информации от хакерской группы Shadow Brokers, которая содержала некоторые интересные подробности о деятельности и хакерском арсенале APT Nazar.

Согласно утечке Shadow Brokers, хакерская группа Nazar, вероятно, была активна уже десять лет — с 2010 года. Похоже, что большинство целей Nazar APT находятся в Иране. За десять лет деятельности Nazar APT хакерская группа обновила свой арсенал инструментов и часто регулярно меняла цели. Среди их новейших хакерских инструментов — троян- бэкдор EYService, представляющий собой угрозу, которая работает очень тихо и может не обнаруживаться в течение длительного времени. Троянец EYService использовался в кампаниях Nazar APT, нацеленных на иранских жертв. Эта угроза способна собирать информацию, проводить сложные разведывательные операции и внедрять дополнительные вредоносные программы на зараженный хост. Чтобы избежать обнаружения некоторыми антивирусными решениями, полезная нагрузка вредоносного ПО EYService была запутана с помощью легитимных утилит, а также общедоступных хакерских инструментов. Это уловка, которую используют многочисленные кибер-мошенники по всему миру.

Несмотря на то, что хакерская группа «Назар» действует уже более десяти лет, информации об их кампаниях и целях не так много. Похоже, что этот APT предпочитает держаться подальше от внимания и тщательно следить за потоками. Вполне вероятно, что исследователи вредоносных программ смогут узнать больше об этих кибер-мошенниках и их мотивах в будущем.