{"id":12508,"date":"2018-02-20T09:47:35","date_gmt":"2018-02-20T15:47:35","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=12508"},"modified":"2018-09-18T06:32:32","modified_gmt":"2018-09-18T12:32:32","slug":"sofacy-2017-update","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/sofacy-2017-update\/12508\/","title":{"rendered":"La APT Sofacy se dirige al Este"},"content":{"rendered":"<p>En Kaspersky Lab monitoreamos, informamos y protegemos contra muchos grupos de amenazas, algunos llegan a ser conocidos en el panorama internacional y protagonizan art\u00edculos de prensa. No importa qu\u00e9 idioma hablen, nuestro deber es conocerlos, investigarlos y proteger a nuestros clientes de ellos.<\/p>\n<p><img decoding=\"async\" class=\"size-full wp-image-15381 aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/02\/22132851\/sofacy-2017-update-featured.jpg\" alt=\"\" width=\"1460\" height=\"958\"><\/p>\n<p>La <a href=\"https:\/\/securelist.com\/threats\/apt-advanced-persistent-threats-glossary\/\" target=\"_blank\" rel=\"noopener\">APT<\/a> rusa <a href=\"https:\/\/securelist.com\/sofacy-apt-hits-high-profile-targets-with-updated-toolset\/72924\/\" target=\"_blank\" rel=\"noopener\">Sofacy<\/a> es uno de los grupos de amenazas m\u00e1s activo, tambi\u00e9n llamado APT28, Fancy Bear y Tsar Team, conocido por sus campa\u00f1as de <a href=\"https:\/\/securelist.com\/threats\/spear-phishing-glossary\/\" target=\"_blank\" rel=\"noopener\"><i>spear phishing<\/i> <\/a>y sus actividades de ciberespionaje. En esta publicaci\u00f3n te contamos c\u00f3mo consigui\u00f3 cambiar el rumbo para mantenerse a flote.<\/p>\n<p>Estudiamos Sofacy desde 2011, por lo que sus instrumentos y estrategias resultan muy familiares. El a\u00f1o pasado, Sofacy dio un giro importante al ir m\u00e1s all\u00e1 de los pa\u00edses de la OTAN, trabaj\u00f3 de forma m\u00e1s activa con el <i>spear phishing<\/i> a principios de a\u00f1o y empez\u00f3 a extenderse hacia los pa\u00edses del Medio Oriente y Asia en el segundo trimestre del 2017. Antes, Sofacy fij\u00f3 como objetivo los Juegos Ol\u00edmpicos, la Agencia Mundial Antidopaje y el Tribunal de Arbitraje Deportivo.<\/p>\n<p>Sofacy adapta su estrategia dependiendo del perfil contra el que quieran actuar. Por ejemplo, a principios de 2017 con una campa\u00f1a llamada Dealer\u2019s Choice se centr\u00f3 en organizaciones militares y diplom\u00e1ticas (sobre todo en pa\u00edses de la OTAN y Ucrania). Despu\u00e9s, los <i>hackers<\/i> usaron Zebrocy y SPLM para ir a por diferentes perfiles como centros cient\u00edficos y de ingenier\u00eda o servicios de prensa. Ambas sufrieron muchas modificaciones, SPLM, tambi\u00e9n conocida como Chopstick, se hizo modular y comenz\u00f3 a usar comunicaciones cifradas.<\/p>\n<p>Una estrategia de infecci\u00f3n habitual empieza con un correo electr\u00f3nico <i>spear phishing<\/i> que contiene un archivo con un <em>script<\/em> que ejecuta la descarga. Sofacy es conocido por encontrar y <a href=\"https:\/\/securelist.com\/threats\/spear-phishing-glossary\/\" target=\"_blank\" rel=\"noopener\">explotar las vulnerabilidades de d\u00eda cero <\/a>y usarlas para enviar la carga. El ciberdelincuente aplica un alto nivel de seguridad operativa y se centra en ocultar al m\u00e1ximo el <i>malware<\/i>, dificultando as\u00ed su investigaci\u00f3n.<\/p>\n<p>En el caso de ataques m\u00e1s sofisticados como Sofacy, se requiere una investigaci\u00f3n a fondo del incidente, con ello podr\u00e1s averiguar qu\u00e9 informaci\u00f3n buscaban los delincuentes, entender su objetivo y detectar la presencia de cualquier amenaza oculta.<\/p>\n<p>En <a href=\"https:\/\/securelist.com\/threats\/spear-phishing-glossary\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a> podr\u00e1s conocer toda la actividad de los ciberdelincuentes en 2017, incluida la informaci\u00f3n t\u00e9cnica. A principios de a\u00f1o, nuestros investigadores encontraron ciertas modificaciones interesantes en el comportamiento de Sofacy en las que profundizaremos durante el <a href=\"https:\/\/sas.kaspersky.com\/?_ga=2.104081224.938324962.1519026449-171254224.1518695379\" target=\"_blank\" rel=\"noopener nofollow\">SAS 2018<\/a>. Si est\u00e1s interesado en las APT y en c\u00f3mo nos podemos defender, no te olvides de comprar una entrada o, al menos, visita nuestros blogs con frecuencia durante la SAS.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kaspersky Lab publica una actualizaci\u00f3n sobre la actividad de la APT de habla rusa Sofacy en 2017.<\/p>\n","protected":false},"author":696,"featured_media":12509,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2795,6,3540],"tags":[3300,122,1680,3301,3198,3302],"class_list":{"0":"post-12508","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-news","10":"category-smb","11":"tag-thesas2018-apt","12":"tag-apt","13":"tag-ciberdelincuentes","14":"tag-fancy-bear","15":"tag-sas-2018","16":"tag-sofacy"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sofacy-2017-update\/12508\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sofacy-2017-update\/12595\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sofacy-2017-update\/10437\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sofacy-2017-update\/14734\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sofacy-2017-update\/13049\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sofacy-2017-update\/15380\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sofacy-2017-update\/15104\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sofacy-2017-update\/19737\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sofacy-2017-update\/21227\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sofacy-2017-update\/15959\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sofacy-2017-update\/9378\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sofacy-2017-update\/19671\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sofacy-2017-update\/19661\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sofacy-2017-update\/19678\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12508","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=12508"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12508\/revisions"}],"predecessor-version":[{"id":12510,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12508\/revisions\/12510"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/12509"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=12508"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=12508"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=12508"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}