Nazar APT

Nazar-hackningsgruppen är en nyligen upptäckt APT (Advanced Persistent Threat). Malwareforskare tror att denna hackergrupp kan vara en del av den ökända APT37. Den senare är en hackergrupp baserad i Kina, som också är känd under aliaset Emissary Panda. Under 2017 inträffade en läcka från Shadow Brokers hackergrupp, som inkluderade några intressanta detaljer om aktiviteten och hackarsenalen för Nazar APT.

Enligt Shadow Brokers-läckan har Nazar-hackargruppen sannolikt varit aktiv i ett decennium nu – ända sedan 2010. De flesta av målen för Nazar APT verkar vara belägna i Iran. Under de tio år som Nazar APT har varit aktiv har hackergruppen uppdaterat sin arsenal av verktyg och har ofta bytt mål regelbundet. Bland deras nyaste hackverktyg är EYService bakdörrstrojanen, som är ett hot som fungerar väldigt tyst och kan undvika upptäckt under långa perioder. EYService Trojan användes i Nazars APT-kampanjer riktade mot iranska offer. Detta hot kan samla in information, utföra komplexa spaningsoperationer och plantera ytterligare skadlig programvara på den infekterade värden. För att undvika upptäckt från vissa anti-malware-lösningar har EYService malwares nyttolast fördunklats med hjälp av legitima verktyg, såväl som allmänt tillgängliga hackverktyg. Detta är ett trick som många cyberskurkar över hela världen använder.

Trots att Nazar-hackargruppen har varit aktiv i över ett decennium finns det inte mycket information tillgänglig om deras kampanjer och mål. Det verkar som att denna APT föredrar att hålla sig borta från rampljuset och trådarna försiktigt. Det är troligt att malware-forskare kommer att kunna ta reda på mer om dessa cyberskurkar och deras motiv i framtiden.