• ESET začína s vydávaním novej správy ESET APT Activity Report, jej prvé vydanie pokrýva obdobie od mája do augusta 2022 (T2 2022).
  • Ukrajina je aj naďalej primárnym cieľom skupín spájaných s Ruskom.
  • Letecký a obranný priemysel zostávajú v hľadáčiku skupín spájaných so Severnou Kóreou, spolu s finančnými firmami a spoločnosťami zaoberajúcimi sa kryptomenami.
  • Skupiny spájané s Čínou dokázali zneužiť viaceré zraniteľnosti a doteraz nezaznamenané backdoory.
  • Stále väčší počet skupín spájaných s Iránom sa zameriava najmä na izraelské ciele.
  • Útočníci zneužili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom a únik dát.

Po vzore renomovanej správy o kybernetickej bezpečnosti ESET Threat Report vydávajú výskumníci spoločnosti ESET aj ESET APT Activity Report. Cieľom tejto správy je ponúknuť pravidelný prehľad o zisteniach výskumníkov spoločnosti ESET týkajúcich sa aktivity skupín zameraných na pokročilé pretrvávajúce hrozby (Advanced Persistent Threat – APT). Prvé vydanie mapuje obdobie od mája do augusta tohto roka. Výskumníci spoločnosti ESET v rámci tejto doby nezaznamenali zníženie aktivity skupín napojených na Rusko, Čínu, Irán a Severnú Kóreu. Aj pol roka po ruskej invázii zostáva Ukrajina hlavným cieľom APT skupín napojených na Rusko, ako napríklad neslávne známej Sandworm, ale aj Gamaredon, InvisiMole, Callisto a Turla. Pre Severnú Kóreu predstavujú najlákavejšie ciele finančné spoločnosti a firmy pôsobiace vo sfére kryptomien. 

„Počas sledovaného obdobia sme zaznamenali, že niektoré skupiny napojené na Rusko využili ruskú multiplatformovú službu Telegram na prístup k riadiacim serverom, alebo ako nástroj na únik informácií. Útočníci z ostatných regiónov sa takisto snažili získať prístup do ukrajinských organizácií za účelmi kybernetickej špionáže aj krádeže intelektuálneho vlastníctva,“ vysvetľuje Jean-Ian Boutin, riaditeľ ESET Threat Research.

„Letecký a obranný priemysel predstavuje zaujímavý cieľ pre skupiny napojené na Severnú Kóreu. Skupina Lazarus napríklad zaútočila na zamestnanca leteckej spoločnosti v Holandsku. Odhalili sme, že skupina zneužila na infiltráciu do spoločnosti zraniteľnosť v legitímnom Dell ovládači. Podľa našich zistení išlo o prvý zaznamenaný prípad v reálnom prostredí,“ pokračuje Jean-Ian Boutin.

Finančné inštitúcie a spoločnosti zaoberajúce sa kryptomenami boli terčami skupiny Kimsuky a dvoch kampaní skupiny Lazarus. Jedna z týchto kampaní, ktorú ESET pomenoval ako Operácia In(ter)ception, sa vymykala zvyčajným cieľom, medzi ktoré patria letecké a obranné spoločnosti. Útočníci sa v tomto prípade zamerali na osobu z Argentíny, ktorej nasadili malvér prestrojený za pracovnú ponuku od spoločnosti Coinbase. ESET tiež zaznamenal, že malvér z rodiny Konni používal techniku, ktorú v minulosti používala skupina Lazarus – skompromitovanú verziu PDF prehliadača Sumatra.

Mimoriadne aktívne boli aj skupiny napojené na Čínu, pričom využívali viaceré zraniteľnosti a predtým nezdokumentované backdoory. ESET napríklad identifikoval nový variant backdooru pre Linux použitý skupinou SparklingGoblin proti univerzite v Hongkongu. Tá istá skupina zneužila Confluence zraniteľnosť pri útoku na potravinársku spoločnosť v Nemecku a strojársku spoločnosť so sídlom v USA. Výskumníci spoločnosti ESET majú tiež podozrenie, že zraniteľnosť ManageEngine ADSelfService Plus bola za skompromitovaním amerického dodávateľa obranných technológií, ktorého systémy boli narušené iba dva dni po verejnom odhalení zraniteľnosti. V Japonsku zaznamenali výskumníci spoločnosti ESET niekoľko kampaní skupiny MirrorFace, pričom jedna sa týkala priamo volieb do hornej komory japonského parlamentu.

Stále väčší počet skupín napojených na Irán sa zameriava najmä na izraelské ciele. Výskumníkom spoločnosti ESET sa podarilo pripísať kampaň zacielenú na desiatku organizácií v Izraeli skupine POLONIUM, pričom identifikovali niekoľko dovtedy nezdokumentovaných backdoorov. Skupina Agrius sa zas podľa všetkého v rámci útoku na dodávateľský reťazec zneužívajúci izraelské softvéry zamerala na organizácie v Južnej Afrike, Hongkongu a Izraeli pôsobiace v diamantovom priemysle. Počas inej kampane v Izraeli zas výskumníci pozorovali možný prienik v používaní nástrojov skupinami MuddyWater a APT35. ESET tiež odhalil novú verziu Android malvéru s obmedzenými špionážnymi funkciami, ktorý bol použitý v kampani skupiny APT-C-50 group a rozšírený cez falošnú iránsku stránku na prekladanie.

Celú správu ESET APT Activity Report s bližšími technickými informáciami nájdete na tomto odkaze. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.

Značky: