Sofacy

最近,Zebrocy的开发人员再次使用不同的编程语言——Go语言创建了一个新的Zebrocy变种。有理由相信,该组织之所以会选择使用多种编程语言来创建他们的木马,极有可能是为了增加其木马逃过安全检测的机率。
正如我们在之前分析Cannon木马的文章中所提到的那样,Sofacy组织在今年10月中旬到11月中旬期间一直在忙于攻击世界各地的各种政府和私人组织。我们将在本文中详细介绍的所有攻击都有一个共同点——恶意文档使用的都是同一个作者名称:Joohn。
Sofacy组织仍然是一个持续的全球威胁。Unit 42和其他机构在2018年上半年展示了这个黑客组织是如何继续针对世界各地的多个组织(主要是在北美和欧洲的政府、外交和其他战略组织)的。
Sofacy(还有其他广为人知的称号,如APT28、Fancy Bear以及Tsar Team)是一个非常活跃又高产的APT组织。Sofacy的实力雄厚,用到了许多0day漏洞,是我们重点跟踪、报告的顶级团队之一。