El grupo Sofacy APT ataca con una nueva carga útil de malware personalizado de segunda etapa que los investigadores han apodado “Cannon”.
Una campaña contra varias entidades gubernamentales en todo el mundo, incluyendo en Norteamérica, Europa y un antiguo estado soviético, llegó en oleadas a finales de octubre y principios de noviembre, según la división de la Unidad 42 de Palo Alto. Los investigadores lo atribuyeron a la Sofacy de habla rusa, también conocida como Fancy Bear, Sednit o APT28, después de interceptar una serie de documentos armados que cargan plantillas remotas que contienen una macro maliciosa.
Siguiendo el rastro de estas plantillas hasta sus servidores de mando y control (C2), Unit 42 pudo recuperar cargas útiles posteriores, que incluían el conocido troyano Zebrocy en la primera fase, y un nuevo malware, el troyano cuentagotas Cannon, para la segunda fase.
El grupo utiliza principalmente correos electrónicos de phishing como vector de infección para las campañas de Zebrocy, según un estudio independiente de ESET de esta semana.
Fuente: Threat Post.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian