Unit 42, het onderzoeksteam van Palo Alto Networks, ontdekte eerder dit jaar dat de cyberspionage-groep Sofacy meerdere organisaties over de hele wereld aanvalt. Nu blijkt deze groepering een nieuwe tactiek te gebruiken, door phishing e-mails naar een exponentieel groter aantal individuen te sturen.
De focus van Sofacy ligt daarbij op op overheids-, diplomatieke en andere strategische organisaties. In eerste instantie bevonden deze zich voornamelijk in Europa en Noord-Amerika. Bij de nieuwe aanvalsmethode liggen de doelen echter in verschillende geopolitieke regio’s. Hiervoor gebruikt de groep de wat minder bekende tool Zebrocy. Deze komt voornamelijk binnen via phishing e-mails die schadelijke Microsoft Office-documenten met macro’s bevatten, evenals simpele bestandsbijlagen.
Verschil
Hoewel deze campagne lijkt op twee eerder gerapporteerde aanvallen die zich focussen op overheidsorganisaties voor buitenlandse zaken, valt de Sofacy-groep met Zebrocy een veel groter netwerk binnen de doelorganisatie aan. De beoogde personen volgden geen significant patroon en de e-mailadressen werden gemakkelijk gevonden met behulp van online zoekmachines. Dit staat in schril contrast met andere aanvallen van de groepering. Over het algemeen is namelijk niet meer dan een handvol slachtoffers binnen een enkele organisatie het doelwit.
Naast het grotere aantal zag Unit 42 ook dat de Sofacy-groep gebruikmaakte van de exploitatiemethode Dynamic Data Exchange (DDE). Deze werd eerder nog door McAfee gedocumenteerd. De aanvallen die Unit 42 tegenkwam, gebruikten echter de DDE-exploit om verschillende payloads te leveren. In één geval werd de DDE-aanval gebruikt om Zebrocy af te leveren en te installeren, bij een ander geval werd de aanval gebruikt om de open-source pentest-toolkit Koadic te leveren. In het verleden maakte de Sofacy-groep gebruik van open-source of gratis tools en exploits. Dit is echter de eerste keer dat Unit 42 Sofacy de Koadic-toolkit ziet gebruiken.
53 minuten geleden
