Potrivit raportului cercetătorilor ESET, grupurile APT legate de Rusia au continuat să ia parte la operațiuni care vizează în mod specific Ucraina, folosind ștergătoare de date distructive și ransomware în această perioadă. Goblin Panda, un grup afiliat chinez, a început să copieze interesul lui Mustang Panda pentru țările europene. Grupurile legate de Iran operează, de asemenea, la un nivel înalt. Alături de Sandworm, alte grupuri rusești APT, precum Callisto, Gamaredon și-au continuat atacurile de phishing care vizează cetățenii est-europeni.
Principalele aspecte ale Raportului de activitate ESET APT sunt următoarele:
ESET a detectat că în Ucraina celebrul grup Sandworm folosește un software de ștergere a datelor necunoscut anterior împotriva unei companii din sectorul energetic. Operațiunile grupurilor APT sunt de obicei efectuate de către participanți de stat sau sponsorizați de stat. Atacul a avut loc în același timp în care forțele armate ruse au lansat lovituri cu rachete care vizează infrastructura energetică în octombrie. Deși ESET nu poate dovedi coordonarea dintre aceste atacuri, ea prevede că Sandworm și armata rusă au același scop.
ESET a numit NikoWiper cel mai recent dintr-o serie de software de ștergere a datelor descoperite anterior. Acest software a fost folosit împotriva unei companii care operează în sectorul energetic din Ucraina în octombrie 2022. NikoWiper se bazează pe SDelete, un utilitar de linie de comandă pe care Microsoft îl folosește pentru a șterge în siguranță fișierele. Pe lângă programele malware de ștergere a datelor, ESET a descoperit atacuri Sandworm care folosesc ransomware ca ștergere. Deși ransomware este folosit în aceste atacuri, scopul principal este distrugerea datelor. Spre deosebire de atacurile ransomware obișnuite, operatorii Sandworm nu oferă o cheie de decriptare.
În octombrie 2022, ransomware-ul Prestige a fost detectat de ESET ca fiind folosit împotriva companiilor de logistică din Ucraina și Polonia. În noiembrie 2022, un nou ransomware scris în .NET numit RansomBoggs a fost descoperit în Ucraina. ESET Research a făcut publică această campanie pe contul său de Twitter. Alături de Sandworm, alte grupuri rusești APT, cum ar fi Callisto și Gamaredon, și-au continuat atacurile de phishing ucrainene pentru a fura acreditări și implanturi.
Cercetătorii ESET au detectat, de asemenea, un atac de phishing MirrorFace care vizează politicienii din Japonia și au observat o schimbare de fază în țintirea unor grupuri legate de China – Goblin Panda a început să copieze interesul Mustang Panda în țările europene. În noiembrie, ESET a descoperit o nouă ușă din spate Goblin Panda pe care o numește TurboSlate la o agenție guvernamentală din Uniunea Europeană. Mustang Panda a continuat să vizeze și organizațiile europene. În septembrie, un încărcător Korplug folosit de Mustang Panda a fost identificat la o întreprindere din sectorul energetic și ingineriei din Elveția.
Grupurile legate de Iran și-au continuat, de asemenea, atacurile – POLONIUM a început să vizeze companiile israeliene, precum și filialele lor străine, iar MuddyWater s-a infiltrat probabil într-un furnizor activ de servicii de securitate.
Grupurile legate de Coreea de Nord au folosit vechi vulnerabilități de securitate pentru a se infiltra în companiile și schimburile de criptomonede din întreaga lume. Interesant, Konni a extins limbile pe care le-a folosit în documentele sale capcane, adăugând engleza la lista sa; ceea ce ar putea însemna că nu se concentrează asupra țintelor sale obișnuite din Rusia și Coreea de Sud.
Fii primul care comenteaza