Amenazas Sofacy, propone CANNON como una nueva táctica

El grupo avanzado de amenazas Sofacy ofrece una nueva muestra de malware llamada Cannon en un ataque de phishing que se dirige a organizaciones gubernamentales en América del Norte, Europa y en un antiguo estado soviético.

La última campaña del grupo se vio a fines de octubre y principios de noviembre, y se basó en documentos de Word que cargaron plantillas remotas incrustadas con un código de macro malicioso.

Dejando caer el cañon
Uno de los archivos recuperó una nueva herramienta que no se ha visto en uso por el actor Sofacy. El método de entrega se basa en una técnica poco común que ayuda a evitar el análisis en un entorno de caja de arena automatizada: la macro utiliza la función de cierre automático, que permite a Word retrasar la ejecución completa del código incorrecto hasta que el usuario cierre el documento.

De acuerdo con el análisis de la Unidad 42 de Palo Alto Networks, Cannon funciona como descargador y utiliza la comunicación por correo electrónico para obtener instrucciones del servidor de comando y control (C2).

Su lista de capacidades incluye agregar persistencia y crear un identificador único del sistema, recopilar detalles del sistema, capturar instantáneas del escritorio. También puede iniciar sesión en una cuenta de correo electrónico POP3 para obtener acceso a los archivos adjuntos.

Comunicación por correo electrónico del cañón
Cannon envía correos electrónicos a través de tres cuentas alojadas en un proveedor de servicios checo llamado Seznam. Estos mensajes se mueven a la dirección de correo electrónico 'sahro.bella7 [at] post.cz', controlada por el adversario, que actúa como el punto C2.

Es posible obtener los comandos iniciando sesión en una cuenta diferente, 'Trala [.] Cosh2', alojada en Seznam.

"El propósito general de Cannon es utilizar varias cuentas de correo electrónico para enviar datos del sistema (información del sistema y captura de pantalla) a los actores de amenazas y, en última instancia, obtener una carga útil de un correo electrónico de los actores", explican los investigadores.

Víctimas atraídas con documento de accidente de avión.
Parece que Sofacy, también conocida por los nombres de Fancy Bear, APT28, Sednit y Strontium, aprovechó el accidente del avión Lion Air para ejecutar su ataque. Uno de los archivos de armas utilizados tenía el nombre 'lista de fallos (Lion Air Boeing 737) .docx'.

En un informe compartido con BleepingComputer, los investigadores de la Unidad 42 afirman que la capitalización de un evento catastrófico para implementar una campaña de phishing es algo inusual para este grupo en particular.

Debido a que se basa en plantillas remotas, el éxito de Sofacy con este esfuerzo depende de la disponibilidad del servidor C2. Si el servidor no está en línea cuando se ejecuta la macro, no se hace ningún daño.

(0 votes)