Spoločnosť ESET vydala správu APT Activity Report, ktorá sumarizuje aktivity vybraných skupín zameraných na pokročilé pretrvávajúce hrozby (APT), ktoré boli pozorované, skúmané a analyzované výskumníkmi spoločnosti ESET od októbra 2022 do konca marca 2023.
Správa najnovšie vychádza na polročnej báze. Počas tohto obdobia sa na európske organizácie zameralo niekoľko skupín napojených na Čínu, ako napríklad Ke3chang a Mustang Panda.
V Izraeli nasadila skupina OilRig napojená na Irán nový vlastný backdoor. Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na juhokórejské a s Južnou Kóreou súvisiace subjekty. APT skupiny napojené na Rusko boli aktívne najmä na Ukrajine a v krajinách EÚ, pričom skupina Sandworm použila wipery na mazanie obsahu.
Škodlivé aktivity popísané v správe ESET APT Activity Report sú detegované technológiou ESET. „Produkty spoločnosti ESET chránia systémy našich zákazníkov pred škodlivými aktivitami popísanými v tejto správe. Informácie, ktoré tu zdieľame, sú založené najmä na vlastných telemetrických údajoch spoločnosti ESET a boli overené výskumníkmi spoločnosti ESET,“ hovorí riaditeľ výskumu hrozieb spoločnosti ESET Jean-Ian Boutin.
Skupina Ke3chang, ktorá je napojená na Čínu, použila taktiku zahŕňajúcu nasadenie nového variantu malvéru Ketrican, a Mustang Panda použila dva nové backdoory. Skupina MirrorFace sa zamerala na Japonsko a implementovala nové prístupy na nasadenie malvéru. Operácia ChattyGoblin zas kompromitovala spoločnosť zaoberajúcu sa hazardnými hrami na Filipínach tým, že sa zamerala na jej zamestnancov podpory. Skupiny SideWinder a Donot Team napojené na Indiu sa naďalej zameriavali na vládne inštitúcie v južnej Ázii, pričom prvá z nich sa zamerala na sektor vzdelávania v Číne a druhá pokračovala vo vývoji svojej neslávne známej schémy yty. Okrem toho použila aj komerčne dostupný Remcos trojan pre vzdialený prístup (RAT). V Južnej Ázii zachytili výskumníci spoločnosti ESET tiež vysoký počet pokusov o phishing zneužívajúci webmail Zimbra.
Okrem toho, že sa skupina Lazarus napojená na KĽDR zamerala na dodávateľa obranných zariadení v Poľsku prostredníctvom falošnej pracovnej ponuky od firmy Boeing, zaútočila aj na neobvyklý cieľ – spoločnosť na správu dát v Indii. Útočníci pritom použili návnadu s tematikou spoločnosti Accenture. Spoločnosť ESET tiež identifikovala časť Linux malvéru, ktorý bol využitý v jednej z kampaní skupiny. Podobnosti s týmto novoobjaveným malvérom potvrdzujú teóriu, že za útokom na dodávateľský reťazec 3CX stojí neslávne známa skupina napojená na Severnú Kóreu.
APT skupiny napojené na Rusko boli aktívne najmä na Ukrajine a v krajinách EÚ, pričom skupina Sandworm nasadila wipery vrátane nového malvéru, ktorý ESET nazýva SwiftSlicer. Skupiny Gamaredon, Sednit a Dukes využívali spearphishingové e-maily, ktoré v prípade Dukes viedli k spusteniu malvéru červeného tímu známeho ako Brute Ratel. ESET tiež zistil, že už spomínanú e-mailovú platformu Zimbra zneužívala aj skupina Winter Vivern, ktorá je aktívna najmä v Európe. Výskumníci napokon zaznamenali výrazný pokles aktivity skupiny SturgeonPhisher, ktorá sa zameriava na vládnych zamestnancov stredoázijských krajín prostredníctvom spearphishingových e-mailov, čo výskumníkov vedie k presvedčeniu, že táto skupina sa v súčasnosti prepracováva.
Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET research.
ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke.
