Palo Alto Networks mette in evidenza nuove attività del gruppo hacker Sofacy

redazione

il team di Palo Alto Networks dedicato alla threat intelligence – ha pubblicato una nuova ricerca sul modo in cui il gruppo hacker Sofacy ha utilizzato nuovo malware per condurre attacchi di cyber spionaggio verso diverse organizzazioni governative distribuite nel mondo, tra cui Nord America, Europa e stati dell’ex-Unione Sovietica.

Tra i principali riscontri della ricerca:

  • Identificazione di un nuovo malware chiamato “Cannon”, un RAT (remote access Trojan): questo nuovo malware è stato usato da Sofacy per condurre attività di cyber spionaggio. Per suoi attacchi, il gruppo continua anche a utilizzare Zebrocy, un altro RAT ben conosciuto.
  • Uso di tecniche differenti per eludere identificazione e analisi: 1) invece di inserire il codice malevolo in un allegato, Sofacy lo fa caricare da un documento remoto; 2) il gruppo usa la mail per inviare e ricevere comandi; 3) il gruppo utilizza anche una specifica codifica macro che può ostacolare e impedire i tentativi di analizzare il codice malevolo delle macro
  • Social engineering: Sofacy è stato osservato in azione durante il recente disastro Lion Air come esca per uno degli attacchi – a esempio ulteriore dell’impegno continuo da parte del gruppo a sfruttare il social engineering per distribuire malware.

 

La ricerca dettagliata condotta da Unit 42 sul gruppo hacker