• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Dati: è tempo di superare i DLP tradizionali
    • SAP Business Suite si potenzia con nuovi Agenti AI
    • SASE: 5 motivi per cui sempre più aziende lo adottano
    • Dr. Vranjes Firenze si affida a Impresoft Univerce per il replatforming
    • Il cloud europeo e la corsa verso la sovranità
    • Forum Legale: l’AI ridisegna il futuro del settore legale
    • INPS: al via lo “sportello telematico evoluto” realizzato da Minsait
    • DLL hijacking raddoppiati dal 2023: Kaspersky lancia l’allarme
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Sofacy/Fancy Bear: Medio Oriente nel mirino

    Sofacy/Fancy Bear: Medio Oriente nel mirino

    By Redazione LineaEDP13/03/20184 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il gruppo espande il suo raggio d’azione, sovrapponendosi ad altri gruppi criminali

    I ricercatori di Kaspersky Lab hanno scoperto che il gruppo criminale di lingue russa Sofacy, anche noto come APT28 o Fancy Bear, sta spostando il proprio interesse verso l’Estremo Oriente, con un forte focus sulle organizzazioni militari, diplomatiche e della difesa, oltre ai tradizionali obiettivi legati alla NATO. I ricercatori hanno scoperto che in alcuni casi Sofacy si sovrappone ad altri gruppi criminali, come il gruppo di lingua russa Turla e quello di lingua cinese Danti. Sorprendentemente, sono state scoperte alcune backdoor di Sofacy su un server precedentemente compromesso dal gruppo criminale di lingua inglese The Lamberts. Il server appartiene a un conglomerato militare e aerospaziale in Cina.

    Sofacy è un gruppo di cyberspionaggio altamente attivo e prolifico, la cui attività viene studiata dai ricercatori di Kaspersky Lab da diversi anni. A febbraio, Kaspersky Lab ha pubblicato una panoramica dell’attività di Sofacy nel 2017, rivelando un graduale spostamento dell’interesse del gruppo dagli obiettivi legati alla NATO verso Medio Oriente, Asia Centrale e oltre. Sofacy utilizza attacchi di spear-phishing e, in alcuni casi, water-holing per rubare informazioni, come credenziali degli account, comunicazioni o documenti sensibili. Il gruppo è sospettato anche di colpire diversi obiettivi con payload distruttivi.

    Le nuove scoperte mostrano che Sofacy non è l’unica minaccia che prende di mira queste regioni e che spesso gruppi criminali molto diversi colpiscono gli stessi obiettivi. Riguardo a Sofacy, i ricercatori hanno scoperto alcuni casi in cui il malware Zebrocy del gruppo è entrato in competizione con i cluster della campagna in lingua russa Mosquito Turla e altri in cui la backdoor SPLM ha fatto concorrenza agli attacchi tradizionali di Turla e del gruppo di lingua cinese Danti. Gli obiettivi condivisi includono la Pubblica Amministrazione, organizzazioni tecnologiche, scientifiche e militari dell’Asia Centrale o basate in quei Paesi.

    In alcuni casi, gli obiettivi sembrano essere stati colpiti contemporaneamente dagli attacchi di SPLM e Zebrocy. Tuttavia, la sovrapposizione più interessante è probabilmente quella tra Sofacy e il gruppo criminale di lingua inglese The Lamberts, scoperta dopo che i ricercatori di Kaspersky Lab hanno rilevato la presenza di Sofacy su un server precedentemente riconosciuto dalla threat intelligence come compromesso dal malware Grey Lambert. Il server appartiene a un conglomerato cinese che progetta e produce tecnologie aerospaziali e per la difesa aerea.

    Tuttavia, in questo caso il vettore di diffusione originale di SPLM di Sofacy rimane ignoto. Questo suggerisce diverse ipotesi, tra cui il fatto che Sofacy potrebbe utilizzare un nuovo e attualmente sconosciuto exploit o una nuova variante della propria backdoor, oppure che Sofacy sia riuscito a sfruttare i canali di comunicazione di Grey Lambert per effettuare il download del proprio malware. Potrebbe persino significare che gli indicatori di Sofacy siano una false flag, impiantata dal gruppo The Lamberts. I ricercatori credono che la spiegazione più probabile sia che sia stato sfruttato un nuovo script PowerShell ignoto o una web app legittima ma vulnerabile per caricare ed eseguire il codice SPLM. L’indagine è attualmente in corso.

    “Sofacy viene talvolta descritto come feroce e sconsiderato ma, secondo il nostro punto di vista, il gruppo sa essere pragmatico, cauto e agile. La sua attività in Oriente è stata poco riportata ma è evidente che non si tratta dell’unico gruppo criminale interessato a questa regione – o persino agli stessi obiettivi. Con un panorama delle minacce sempre più affollato e complesso, potremmo incontrare sempre più casi di sovrapposizione degli obiettivi – fattore che potrebbe spiegare come mai molti gruppi controllino i sistemi delle vittime alla ricerca di altri intrusi prima di lanciare i propri attacchi”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.

    I ricercatori hanno inoltre scoperto che Sofacy suddivide chiaramente i propri tool principali con cluster per la codifica, lo sviluppo e la selezione degli obiettivi di SPLM (anche noto come CHOPSTICK e Xagent), GAMEFISH e Zebrocy. SPLM è considerato il tool di secondo livello principale e più selettivo di Sofacy, mentre Zebrocy viene utilizzato per gli attacchi più ampi. Secondo i ricercatori, all’inizio del 2018 Sofacy ha attaccato con SPLM grandi organizzazioni commerciali legate alla difesa aerea situate in Cina, mentre ha diffuso Zebrocy in modo più ampio in Armenia, Turchia, Kazakistan, Tagikistan, Afghanistan, Mongolia, Cina e Giappone.

    cyber-crime Kaspersky Lab
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Dati: è tempo di superare i DLP tradizionali

    08/10/2025

    SAP Business Suite si potenzia con nuovi Agenti AI

    08/10/2025

    SASE: 5 motivi per cui sempre più aziende lo adottano

    08/10/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Il cloud introduce ulteriore complessità nella cybersecurity: focus sulle identità
    Synology CC400W: abbiamo testato la telecamera di sicurezza con AI integrata e connettività Wi-Fi
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Defence Tech

    Dati: è tempo di superare i DLP tradizionali

    08/10/2025

    SASE: 5 motivi per cui sempre più aziende lo adottano

    08/10/2025

    DLL hijacking raddoppiati dal 2023: Kaspersky lancia l’allarme

    07/10/2025

    DeceptiveDevelopment, la nuova indagine di ESET Research sul cybercrime nordcoreano legato al furto di criptovalute

    07/10/2025
    Report

    AI e formazione: lavoratori chiedono di più, governi e aziende rallentano

    06/10/2025

    Marketing: Agenti AI e dati al centro

    03/10/2025

    Intelligenza Artificiale: le aziende si fidano di GenAI e Agentic AI

    01/10/2025

    ESG: il reporting diventa un asset strategico

    29/09/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.