Palo Alto Networks ha messo in evidenza nuove attività del gruppo hacker Sofacy. Una nuova ricerca sul modo in cui quest’ultimo ha utilizzato nuovo malware per condurre attacchi di cyber spionaggio verso diverse organizzazioni governative distribuite nel mondo è, infatti, stata pubblicata dal team Unit 42 di Palo Alto Networks dedicato alla threat intelligence.
Nello specifico, sarebbe stato indentificato un nuovo malware chiamato “Cannon”, un RAT (remote access Trojan) usato da Sofacy per condurre attività di cyber spionaggio, mentre è confermato l’utilizzo del più ben conosciuto RAT Zebrocy, già rilevato in azione in Paesi come Nord America, Europa e stati dell’ex-Unione Sovietica.
Nuove tecniche elusive in atto
Sempre in merito alla nuova ricerca il gruppo hacker Sofacy starebbe, inoltre, utilizzando tecniche differenti per eludere identificazione e analisi.
Nello specifico, invece di inserire il codice malevolo in un allegato, Sofacy lo fa caricare da un documento remoto. Il gruppo, inoltre, usa la mail per inviare e ricevere comandi e utilizza anche una specifica codifica macro che può ostacolare e impedire i tentativi di analizzare il codice malevolo delle stesse.
Infine, a livello di social engineering, Sofacy è stato osservato in azione durante il recente disastro Lion Air come esca per uno degli attacchi, a ulteriore conferma del continuo interesse da parte del gruppo a sfruttare il social engineering per distribuire malware.
