La Unit 42 di Palo Alto Networks ha reso nota una recente ricerca su come il gruppo hacker Sofacy ha utilizzato nuovo malware per attacchi di cyber spionaggio.
Le azioni di cyber spionaggio hanno riguardato diverse organizzazioni governative distribuite nel mondo, tra le quali Nord America, Europa e Paesi dell’ex-Unione Sovietica.
Tra i principali riscontri della ricerca del team di Palo Alto Networks, dedicato alla threat intelligence, vanno ricordati:
-identificazione del nuovo malware “Cannon”, un RAT (remote access Trojan) che è stato usato da Sofacy per le attività di cyber spionaggio.
Per suoi attacchi, il gruppo continua a utilizzare anche Zebrocy, altro RAT ben conosciuto.
-Utilizzo di tecniche differenti per eludere identificazione e analisi, tra queste
1) invece di inserire il codice malevolo in un allegato, Sofacy lo fa caricare da un documento remoto;
2) il gruppo usa la mail per inviare e ricevere comandi;
3) il gruppo utilizza anche una specifica codifica macro che può ostacolare e impedire i tentativi di analizzare il codice malevolo delle macro
-Social engineering. Sofacy è stato osservato in azione durante il recente disastro Lion Air come esca per uno degli attacchi. Altro esempio dell’impegno continuo da parte del gruppo hacker di sfruttare il social engineering per distribuire malware.