Σύμφωνα με την έκθεση ερευνητών της ESET, ομάδες APT που συνδέονται με τη Ρωσία συνέχισαν να συμμετέχουν σε επιχειρήσεις που στοχεύουν συγκεκριμένα την Ουκρανία, χρησιμοποιώντας καταστροφικούς υαλοκαθαριστήρες δεδομένων και ransomware κατά τη διάρκεια αυτής της περιόδου. Το Goblin Panda, μια ομάδα συνδεδεμένη με την Κίνα, άρχισε να αντιγράφει το ενδιαφέρον της Mustang Panda για τις ευρωπαϊκές χώρες. Ομάδες που συνδέονται με το Ιράν λειτουργούν επίσης σε υψηλό επίπεδο. Μαζί με το Sandworm, άλλες ρωσικές ομάδες APT όπως οι Callisto, Gamaredon συνέχισαν τις επιθέσεις phishing με στόχο πολίτες της Ανατολικής Ευρώπης.
Τα κυριότερα σημεία της αναφοράς δραστηριότητας ESET APT είναι τα εξής:
Η ESET εντόπισε ότι στην Ουκρανία ο διαβόητος όμιλος Sandworm χρησιμοποιεί άγνωστο προηγουμένως λογισμικό καθαρισμού δεδομένων εναντίον μιας εταιρείας του ενεργειακού τομέα. Οι λειτουργίες των ομάδων APT πραγματοποιούνται συνήθως από κρατικούς ή κρατικούς συμμετέχοντες. Η επίθεση έγινε την ίδια στιγμή που οι ρωσικές ένοπλες δυνάμεις εξαπέλυσαν πυραυλικές επιθέσεις με στόχο την ενεργειακή υποδομή τον Οκτώβριο. Ενώ η ESET δεν μπορεί να αποδείξει τον συντονισμό μεταξύ αυτών των επιθέσεων, οραματίζεται το Sandworm και ο ρωσικός στρατός να έχουν τον ίδιο στόχο.
Η ESET ονόμασε το NikoWiper το πιο πρόσφατο σε μια σειρά λογισμικού υαλοκαθαριστήρων δεδομένων που είχε ανακαλυφθεί στο παρελθόν. Αυτό το λογισμικό χρησιμοποιήθηκε εναντίον μιας εταιρείας που δραστηριοποιείται στον ενεργειακό τομέα στην Ουκρανία τον Οκτώβριο του 2022. Το NikoWiper βασίζεται στο SDelete, ένα βοηθητικό πρόγραμμα γραμμής εντολών που χρησιμοποιεί η Microsoft για την ασφαλή διαγραφή αρχείων. Εκτός από το κακόβουλο λογισμικό που σκουπίζει δεδομένα, η ESET ανακάλυψε επιθέσεις Sandworm που χρησιμοποιούν ransomware ως υαλοκαθαριστήρα. Παρόλο που χρησιμοποιείται ransomware σε αυτές τις επιθέσεις, ο κύριος σκοπός είναι η καταστροφή δεδομένων. Σε αντίθεση με τις κοινές επιθέσεις ransomware, οι χειριστές Sandworm δεν παρέχουν κλειδί αποκρυπτογράφησης.
Τον Οκτώβριο του 2022, το Prestige ransomware εντοπίστηκε από την ESET ότι χρησιμοποιούνταν εναντίον εταιρειών logistics στην Ουκρανία και την Πολωνία. Τον Νοέμβριο του 2022, ένα νέο ransomware γραμμένο σε .NET ανακαλύφθηκε στην Ουκρανία που ονομάζεται RansomBoggs. Η ESET Research δημοσίευσε αυτή την καμπάνια στον λογαριασμό της στο Twitter. Μαζί με το Sandworm, άλλες ρωσικές ομάδες APT όπως οι Callisto και Gamaredon συνέχισαν τις στοχευμένες επιθέσεις phishing στην Ουκρανία για να κλέψουν διαπιστευτήρια και να εμφυτεύσουν εμφυτεύματα.
Οι ερευνητές της ESET εντόπισαν επίσης μια επίθεση phishing MirrorFace με στόχο πολιτικούς στην Ιαπωνία και παρατήρησαν μια αλλαγή φάσης στη στόχευση ορισμένων ομάδων που συνδέονται με την Κίνα – το Goblin Panda άρχισε να αντιγράφει το ενδιαφέρον της Mustang Panda για τις ευρωπαϊκές χώρες. Τον Νοέμβριο, η ESET ανακάλυψε μια νέα κερκόπορτα Goblin Panda που την ονομάζει TurboSlate σε μια κρατική υπηρεσία στην Ευρωπαϊκή Ένωση. Η Mustang Panda συνέχισε επίσης να στοχεύει ευρωπαϊκούς οργανισμούς. Τον Σεπτέμβριο, ένας φορτωτής Korplug που χρησιμοποιούσε η Mustang Panda εντοπίστηκε σε μια επιχείρηση στον τομέα της ενέργειας και της μηχανικής της Ελβετίας.
Ομάδες που συνδέονται με το Ιράν συνέχισαν τις επιθέσεις τους – το POLONIUM άρχισε να στοχεύει ισραηλινές εταιρείες καθώς και ξένες θυγατρικές τους και η MuddyWater πιθανότατα διείσδυσε σε έναν ενεργό πάροχο υπηρεσιών ασφαλείας.
Ομάδες που συνδέονται με τη Βόρεια Κορέα έχουν χρησιμοποιήσει παλιά τρωτά σημεία ασφαλείας για να διεισδύσουν σε εταιρείες και ανταλλακτήρια κρυπτονομισμάτων σε όλο τον κόσμο. Είναι ενδιαφέρον ότι ο Konni επέκτεινε τις γλώσσες που χρησιμοποιούσε στα έγγραφα παγίδας του, προσθέτοντας τα αγγλικά στη λίστα του. που θα μπορούσε να σημαίνει ότι δεν εστιάζει στους συνήθεις ρωσικούς και νοτιοκορεατικούς στόχους της.
Γίνετε ο πρώτος που θα σχολιάσει