Nazar APT

Хакерська група Nazar є нещодавно викритою APT (Advanced Persistent Threat). Дослідники шкідливого програмного забезпечення вважають, що ця хакерська група може бути частиною сумнозвісної APT37. Остання є хакерською групою, що базується в Китаї, яка також відома під псевдонімом Emissary Panda. У 2017 році відбувся витік з боку хакерської групи Shadow Brokers, який містив деякі цікаві подробиці про діяльність та хакерський арсенал Nazar APT.

Згідно з витоком Shadow Brokers, хакерська група Nazar, ймовірно, активна вже десять років – з 2010 року. Здається, більшість цілей Nazar APT знаходяться в Ірані. За десять років діяльності Nazar APT хакерська група оновила свій арсенал інструментів і часто змінювала свої цілі регулярно. Серед їхніх найновіших хакерських інструментів є бекдорний троян EYService, який є загрозою, яка діє дуже тихо і може уникнути виявлення протягом тривалого періоду. Троян EYService використовувався в кампаніях Nazar APT, спрямованих на іранських жертв. Ця загроза здатна збирати інформацію, проводити складні розвідувальні операції та розміщувати додаткові шкідливі програми на зараженому хості. Щоб уникнути виявлення за допомогою деяких рішень для захисту від шкідливих програм, корисне навантаження зловмисного програмного забезпечення EYService було обфусковано за допомогою законних утиліт, а також загальнодоступних інструментів злому. Цим трюком користуються численні кібер-шахраї по всьому світу.

Незважаючи на те, що хакерська група Nazar діяла вже більше десяти років, інформації про їхні кампанії та цілі не так багато. Здавалося б, що цей APT вважає за краще триматися подалі від уваги та обережно обговорювати. Ймовірно, що дослідники шкідливого програмного забезпечення зможуть дізнатися більше про цих кібер-шахраїв та їх мотиви в майбутньому.