Sofacy zet wereldwijde aanvallen voort via nieuw 'cannon-trojan'
Sofacy zet cyberspionageaanvallen voort bij verschillende overheidsinstanties overal ter wereld, waaronder Noord-Amerika, Europa en voormalige USSR-staten. Onderzoek van Unit42, het onderzoeksteam van Palo Alto Networks legt er alles over uit in het volgende artikel, lees het hier.
Belangrijke bevindingen zijn:
De nieuw ontdekte malware genaamd "Cannon", is een RAN-verbinding op afstand en wordt door Sofacy gebruikt voor cyberspionageaanvallen. De groep blijft Zebrocy (een bekende RAT) ook gebruiken in hun aanvallen.
Er worden verschillende technieken gebruikt om detectie en analyse te omzeilen:
1) De schadelijke code wordt door Sofacy in een extern document geladen ipv in een bijlage.
2) De groep gebruikt e-mails om opdrachten te verzenden en ontvangen.
3) Er wordt specifieke macro-codering gebruikt die pogingen om de kwaadaardige macrocode te analyseren te dwarsbomen. Social engineering: Sofacy werd ontdekt met behulp van de recente Lion Air ramp, die als lokaas in een van hun aanvallen werd gebruikt - een voorbeeld van hun voortdurende bereidheid om social engineering te gebruiken om malware te leveren.