Opnieuw aanvallen ontdekt van Sofacy cyberspionage-groep

Opnieuw zijn aanvallen van de Sofacy cyberspionage-groep ontdekt. Deze groep bespioneert organisaties wereldwijd via cyberaanvallen. Bij de nieuwste dreiging maakt de groep gebruik van de tool Zebrocy, die voornamelijk wordt verspreid via phishing-e-mails die schadelijke Microsoft Office-documenten met macro's bevatten en simpele bijlagen. Deze nieuwe campagne lijkt op twee eerder gerapporteerde aanvallen die zich ook focusten op overheidsorganisaties die zich bezig houden met buitenlandse zaken. In dit geval lagen de doelen echter in verschillende geopolitieke regio's.

Onder andere Unit 42 wees in de afgelopen maanden al op de de Sofacy groep. Deze groep valt organisaties wereldwijd aan met als doel gevoelige informatie in handen te krijgen. Hun focus ligt op overheids-, diplomatieke en andere strategische organisaties, voornamelijk in Noord-Amerika en Europa.

Nieuwe dreiging

Een interessant verschil met de eerdere aanvallen, is dat de Sofacy-groep met Zebrocy een veel groter netwerk binnen de doelorganisatie aanviel: de aanvallers stuurden phishing-e-mails naar een exponentieel groter aantal individuen. De beoogde personen volgden geen significant patroon en de e-mailadressen werden gemakkelijk gevonden met behulp van online zoekmachines. Dit staat in schril contrast met andere Sofacy-groep aanvallen, waarbij over het algemeen niet meer dan een handvol slachtoffers binnen een enkele organisatie doelwit wordt van een aanval.

Naast het grote aantal Zebrocy-aanvallen dat we ontdekten, hebben we ook uitgevonden dat de Sofacy-groep gebruik maakte van de exploitatiemethode voor dynamische gegevensuitwisseling (DDE) die eerder door McAfee was gedocumenteerd. De instanties die Unit42 heeft geobserveerd, hebben echter de DDE-exploit gebruikt om verschillende payloads te leveren. In één geval werd de DDE-aanval gebruikt om Zebrocy af te leveren en te installeren. In een ander geval werd de DDE-aanval gebruikt om een?? testtoolkit voor open sources te leveren, genaamd Koadic. De Sofacy-groep heeft in het verleden gebruikgemaakt van open source of vrij beschikbare tools en exploits, maar dit is de eerste keer dat Unit 42 heeft waargenomen dat ze de Koadic-toolkit gebruiken.

Meer (technische) informatie over Sofacy, Zebrocy en het gebruik van DDE is hier te vinden.