El grupo de amenazas Sofacy regresa con nuevas tácticas de ataque
- Endpoint
Sofacy, que sigue atacando a organizaciones gubernamentales, utiliza correos de phishing para infectar a las máquinas con el troyano Zebrocy en una primera etapa, y con un nuevo malware, el troyano Cannon, en una segunda etapa. Emplea plantillas remotas como nueva técnica de evasión.
También puedes leer... |
El grupo de amenazas APT de habla rusa Sofacy ha vuelto, y lo hace con nuevas tácticas de ataque, incluida una segunda carga de malware que los investigadores han bautizado como Cannon.
Expertos de la división Unit 42 de Palo Alto detectaron a finales de octubre y principios de noviembre una campaña lanzada en oleadas contra varias entidades gubernamentales de Norteamérica, Europa y un antiguo estado soviético. Los investigadores lo atribuyeron a Sofacy, después de interceptar una serie de documentos que cargan plantillas remotas que contienen una macro maliciosa. Rastreando estas plantillas hasta sus servidores de comando y control, Unit 42 pudo recuperar las cargas útiles subsiguientes, que incluían el conocido troyano Zebrocy, en una primera etapa, y un nuevo malware, el troyano Cannon, en una segunda etapa.
En la última campaña, el uso de plantillas remotas representa una nueva técnica de evasión. "El grupo de amenazas Sofacy continúa apuntando a organizaciones gubernamentales en la UE, Estados Unidos y ex estados soviéticos para entregar la herramienta Zebrocy como una carga útil", señalan los investigadores. "En estos ataques, los documentos entregados utilizaron plantillas remotas, lo que aumenta la dificultad de analizar el ataque, ya que se necesita un servidor de comando y control activo para obtener el documento habilitado para macros".
Mientras tanto, Cannon es un descargador de segunda etapa completamente nuevo. En particular, utiliza el correo electrónico como su canal de comunicación con el servidor de comando y control, lo que también puede disminuir la posibilidad de detección, ya que el envío de correo electrónico a través de proveedores de correo electrónico no autorizados puede no necesariamente interpretarse como actividades sospechosas o incluso maliciosas en muchas empresas.
Cannon envía correos electrónicos a direcciones de correo electrónico específicas a través de SMTPS a través del puerto TCP 587, y utiliza los temporizadores para ejecutar sus rutinas en un orden específico y potencialmente aumentar su capacidad de evasión. Agrega persistencia y genera un identificador único específico del sistema, y luego recopila información del sistema y toma una captura de pantalla del escritorio para determinar si el host comprometido es de interés, para, en última instancia, descargar cargas útiles adicionales.
La campaña de entrega de Zebrocy y Cannon permanece activa, de acuerdo con Unit 42, y sigue el patrón habitual de Sofacy de usar eventos actuales como señuelos de phishing. Por ejemplo, uno de los documentos de Microsoft Word tiene el nombre de archivo "crash list (Lion Air Boeing 737).docx", en un intento de capitalizar la tragedia del accidente de avión de Lion Air en la costa de Indonesia.