12 dic. 2015

Sofacy reaparece con APTs y nuevos 0-Day

El equipo de análisis en investigación global de Kaspersky Lab ha descubierto nuevos ataques del grupo Sofacy, que hacen uso de varias técnicas diseñadas para lograr una persistencia agresiva y una mayor invisibilidad de la actividad maliciosa en el sistema atacado.

Sofacy, también conocido como "Fancy Bear", "Sednit", "Strontium" y "APT28", es un grupo de ruso que guarda alguna relacion con Miniduke APT, y que ha estado activo desde al menos 2008, atacando a entidades en su mayoría militares y gubernamentales de todo el mundo. Desde que apareció en el radar público en 2014, el grupo no ha cesado en sus actividades, si bien los expertos de Kaspersky Lab han descubierto nuevas herramientas maliciosas aún más avanzadas en el arsenal de Sofacy.

Según el análisis, los atacantes que hay detrás de Sofacy utilizan múltiples backdoors para infectar a un objetivo con varias herramientas maliciosas diferentes, una de los cuales sirve como herramienta de reinfección si otra llega a ser bloqueada o eliminada por una solución de seguridad. Además en muchos los ataques realizados este año, el grupo Sofacy hizo uso de una nueva versión de su implante de robo USB, lo que le permite copiar datos de los equipos comprometidos.
Los atacantes también utilizan modularización del malware, poniendo algunas prestaciones de los backdoors en módulos separados para ocultar mejor la actividad maliciosa en el sistema atacado. Esta es una tendencia cada vez más popular en los ataques dirigidos.
"Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad bien cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso. Le hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques 0-Day, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán", explica Costin Raiu, director de investigación y análisis global de Kaspersky Lab.

Fuente: ComputerWorld

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!