Výskumníci spoločnosti ESET zverejnili najnovší APT Activity Report, ktorý mapuje obdobie od septembra do decembra 2022.
APT skupiny napojené na Rusko pokračovali v operáciách zacielených na Ukrajinu. V rámci svojich aktivít napríklad nasadili deštrukčný wiper NikoWiper. Skupina Sandworm spustila wiper súbežne s raketovými útokmi ruských ozbrojených síl namierených na ukrajinskú energetickú infraštruktúru. Výskumníci spoločnosti ESET nevedia dokázať koordináciu kybernetických a fyzických útokov, ale ukazuje sa, že skupina Sandworm a ruské ozbrojené zložky majú podobné ciele.
Ruské APT skupiny zaútočili na Ukrajinu aj ransomvérmi Prestige a RansomBoggs. Spolu so skupinou Sandworm cielili na Ukrajinu spearphishingové kampane aj ďalšie ruské APT skupiny ako Callisto a Gamaredon. Skupiny napojené na Čínu sa vo zvýšenej miere zaujímajú o európske krajiny.
Výskumníci spoločnosti ESET zverejnili svoj najnovší APT Activity Report, ktorý sumarizuje ich odhalenia týkajúce sa vybraných skupín zameraných na pokročilé pretrvávajúce hrozby (APT skupiny). Správa mapuje obdobie T3 2022, teda mesiace september až december. Počas skúmaného obdobia pokračovali ruské skupiny v operáciách zacielených na Ukrajinu, pričom používali ničivé wiperi aj ransomvérové útoky.
Výskumníci spoločnosti ESET odhalili doposiaľ nezdokumentovaný wiper z dielne skupiny Sandworm, ktorý toto neslávne známe zoskupenie nasadilo v októbri na ukrajinskú spoločnosť z energetického sektora. V tom istom období ruské ozbrojené zložky spustili raketový útok na ukrajinskú energetickú infraštruktúru. ESET nevie dokázať koordináciu kybernetických a fyzických útokov, ale ukazuje sa, že skupina Sandworm a ruské ozbrojené zložky majú podobné ciele.
Ďalší wiper zo série nedávno odhalených malvérov pomenoval ESET ako NikoWiper. Tento škodlivý kód hackeri použili proti spoločnosti z energetického sektora v októbri. NikoWiper je založený na nástroji príkazového riadku SDelete, ktorý sa používa na bezpečné mazanie súborov.
Len koncom minulého týždňa výskumníci spoločnosti zachytili aktuálne posledný wiper šíriaci sa na Ukrajine. „Ide o najnovší zo série deštrukčných wiper útokov, skupiny Sandworm, ktoré nabrali na intenzite od začiatku ruskej invázie. Používa pritom nový, doposiaľ nevidený malvér SwiftSlicer, napísaný v programovacom jazyku Go. Po jeho spustení prepíše systémové súbory, čo má za dôsledok, že počítač nepôjde nabootovat. Ešte predtým zmaže zálohy, čím sťaží obnovu, aby bolo treba preinštalovať Windows,“ vysvetľuje výskumník spoločnosti ESET, Robert Lipovský.
Okrem samostatných wiperov odhalil ESET ďalšie útoky z dielne skupiny Sandworm, ktoré využili ransomvér na zanesenie wiperu. Aj keď útočníci v týchto prípadoch využili ransomvér, ich konečným cieľom bolo mazanie dát. Na rozdiel od tradičných ransomvérových útokov, hackeri nemali v pláne poskytnúť obetiam dešifrovací kľúč za zapletenie výkupného.
V októbri 2022 ESET zdetegoval ransomvér Prestige nasadený na logistické spoločnosti na Ukrajine a v Poľsku. V novembri zas výskumníci spoločnosti ESET odhalili na Ukrajine nový ransomvér napísaný v platforme .NET, ktorý pomenovali ako RansomBoggs. Spolu so skupinou Sandworm sa zamerali na Ukrajinu aj ďalšie ruské APT skupiny ako Callisto a Gamaredon, ktoré pokračovali v spearphishingových kampaniach s cieľom krádeže prihlasovacích údajov a inštalácie škodlivých kódov.
Výskumníci spoločnosti ESET odhalili aj spearphishingovú kampaň z dielne skupiny MirrorFace zacielenú na japonských politikov a poukázali na zmeny v cieľoch niektorých skupín napojených na Čínu.
Zoskupenie Goblin Panda sa napríklad začalo podobne ako Mustang Panda viac orientovať na európske organizácie. V septembri ESET zachytil loader Korplug použitý skupinou Mustang Panda v rámci útoku na švajčiarsku organizáciu z oblasti energetiky.
V útokoch pokračovali aj hackeri napojení na iránsky režim. Skupina POLONIUM sa popri firmách z Izraela zamerala aj na ich zahraničné pobočky. Skupina MuddyWater zas pravdepodobne skompromitovala poskytovateľa služieb na správu kybernetickej bezpečnosti.
Skupiny napojené na Severnú Kóreu zneužili staršie zraniteľnosti na skompromitovanie kryptomenových firiem a zmenární v rôznych častiach sveta. Zaujímavosťou je, že skupina Konni rozšírila svoje jazykové portfólio, ktoré používa vo svojich falošných dokumentoch, o angličtinu. Môže to znamenať, že aktuálne sa nezameriava na svoje tradičné ciele – Rusko a Južnú Kóreu.
Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete aj na Twitteri ESET research.
ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke.