Nazar APT

กลุ่มแฮ็ค Nazar เป็นกลุ่ม APT ที่เพิ่งถูกเปิดเผย (ภัยคุกคามถาวรขั้นสูง) นักวิจัยมัลแวร์เชื่อว่ากลุ่มแฮ็คนี้อาจเป็นส่วนหนึ่งของ APT37 ที่น่าอับอาย กลุ่มหลังเป็นกลุ่มแฮ็คที่อยู่ในประเทศจีน ซึ่งเป็นที่รู้จักภายใต้นามแฝง Emissary Panda ในปี 2560 กลุ่มแฮ็ค Shadow Brokers มีการรั่วไหลซึ่งรวมถึงรายละเอียดที่น่าสนใจเกี่ยวกับกิจกรรมและการแฮ็กคลังแสงของ Nazar APT

จากข้อมูลของ Shadow Brokers ที่รั่วไหลออกมา กลุ่มแฮ็ค Nazar มีแนวโน้มว่าจะเปิดใช้งานมานานนับทศวรรษแล้ว – นับตั้งแต่ปี 2010 เป้าหมายส่วนใหญ่ของ Nazar APT ดูเหมือนจะตั้งอยู่ในอิหร่าน ในช่วงสิบปีที่ Nazar APT เปิดใช้งาน กลุ่มแฮ็กเกอร์ได้อัปเดตคลังเครื่องมือและมักเปลี่ยนเป้าหมายเป็นประจำ เครื่องมือแฮ็คใหม่ล่าสุดของพวกเขาคือ EYService backdoor Trojan ซึ่งเป็นภัยคุกคามที่ทำงานอย่างเงียบ ๆ และอาจหลีกเลี่ยงการตรวจจับในช่วงเวลาที่ยาวนาน โทรจัน EYService ถูกใช้ในแคมเปญ Nazar APT ที่กำหนดเป้าหมายไปยังเหยื่อชาวอิหร่าน ภัยคุกคามนี้สามารถรวบรวมข้อมูล ดำเนินการสำรวจที่ซับซ้อน และวางมัลแวร์เพิ่มเติมบนโฮสต์ที่ติดไวรัส เพื่อหลีกเลี่ยงการตรวจจับจากโซลูชันป้องกันมัลแวร์บางอย่าง เพย์โหลดของมัลแวร์ EYService ถูกทำให้สับสนด้วยความช่วยเหลือของยูทิลิตี้ที่ถูกต้องตามกฎหมาย รวมถึงเครื่องมือแฮ็กที่เปิดเผยต่อสาธารณะ นี่เป็นกลอุบายที่อาชญากรไซเบอร์จำนวนมากทั่วโลกใช้

แม้ว่ากลุ่มแฮ็กเกอร์ Nazar จะมีการใช้งานมานานกว่าทศวรรษแล้ว แต่ก็ยังไม่มีข้อมูลมากนักเกี่ยวกับแคมเปญและเป้าหมายของพวกเขา ดูเหมือนว่า APT นี้ชอบที่จะอยู่ห่างจากไฟแก็ซและเธรดอย่างระมัดระวัง มีแนวโน้มว่านักวิจัยมัลแวร์จะสามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับอาชญากรไซเบอร์เหล่านี้และแรงจูงใจของพวกเขาในอนาคต