Palo Alto Networks ontdekt parallele aanvallen van de Sofacy-groep

Unit 42, en andere bedrijven, hebben in de afgelopen maanden reeds laten zien hoe de Sofacy cyberspionage-groep meerdere organisaties over de hele wereld aanvalt. Hun focus ligt op overheids-, diplomatieke en andere strategische organisaties, voornamelijk in Noord-Amerika en Europa.

Nieuwe dreiging

In navolging van Unit 42’s meest recente Sofacy-onderzoek in februari en maart 2018, hebben we een nieuwe dreiging gevonden die gelinkt is aan Sofacy maar een minder bekende tool met de naam Zebrocy gebruikt. Zebrocy komt voornamelijk binnen via phishing-e-mails die schadelijke Microsoft Office-documenten met macro's bevatten, evenals simpele bestandsbijlagen. Deze nieuwe campagne lijkt op twee eerder gerapporteerde aanvallen die zich ook focusten op overheidsorganisaties die zich bezig houden met buitenlandse zaken. In dit geval lagen de doelen echter in verschillende geopolitieke regio's.

Verschil met eerdere aanvallen

Een interessant verschil met de eerdere aanvallen, is dat de Sofacy-groep met Zebrocy een veel groter netwerk binnen de doelorganisatie aanviel: de aanvallers stuurden phishing-e-mails naar een exponentieel groter aantal individuen. De beoogde personen volgden geen significant patroon en de e-mailadressen werden gemakkelijk gevonden met behulp van online zoekmachines. Dit staat in schril contrast met andere Sofacy-groep aanvallen, waarbij over het algemeen niet meer dan een handvol slachtoffers binnen een enkele organisatie doelwit wordt van een aanval.

Naast het grote aantal Zebrocy-aanvallen dat we ontdekten, hebben we ook uitgevonden dat de Sofacy-groep gebruik maakte van de exploitatiemethode voor dynamische gegevensuitwisseling (DDE) die eerder door McAfee was gedocumenteerd. De instanties die Unit42 heeft geobserveerd, hebben echter de DDE-exploit gebruikt om verschillende payloads te leveren. In één geval werd de DDE-aanval gebruikt om Zebrocy af te leveren en te installeren. In een ander geval werd de DDE-aanval gebruikt om een testtoolkit voor open sources te leveren, genaamd Koadic. De Sofacy-groep heeft in het verleden gebruikgemaakt van open source of vrij beschikbare tools en exploits, maar dit is de eerste keer dat Unit 42 heeft waargenomen dat ze de Koadic-toolkit gebruiken.

Meer (technische) informatie is te vinden via de volgende link: https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/

Voor vragen kunt u terecht bij:

Text100 Global Communications
Marcel van der Geld
T. +31 (0)6 41 55 33 80
E. marcel.vandergeld@text100.nl