1 概述

8月初，威胁情报公司  QuoIntelligence公开了一段基于APT28构造恶意的有关北约主体的恶意文档，伪装成北约培训课程资料的Zebrocy恶意软件，样本名称为”Course 5 – 16 October 10.2020.zipx”。

8月中旬，奇安信发布报告“https://www.secrss.com/articles/24798” ，名称为《APT28新动向：针对阿塞拜疆国内政治、社会知名人士进行定向攻击》，全面阐述了其攻击手段与目标。

9月中旬，QuoIntelligence公司正式公开报告，对其进行了详细阐述。

2 技术分析

Course_5_-_16_October_2020.zipx是恶意样本名称，  使用jpg+zip数据

根本原理就是JPG数据解析从上到下解析，而winrar这类软件从后往前解析。

将两个数据放到一起免杀效果非常好！！！

提取之后一个是北约相关图片，一本是压缩包，压缩包内包含Zebrocy的delphi语言编写的样本。

3 红攻击

将拆分的两个样本使用winhex再次重合到一起

经测试，直接添加到后面即可！

恶意利用的话，直接放一个自解压的压缩包！！！