Според доклада на изследователите на ESET APT групите, свързани с Русия, продължават да участват в операции, насочени конкретно към Украйна, като използват разрушителни програми за почистване на данни и рансъмуер през този период. Goblin Panda, група, свързана с Китай, започна да копира интереса на Mustang Panda към европейските страни. Групи, свързани с Иран, също действат на високо ниво. Заедно с Sandworm, други руски APT групи като Callisto, Gamaredon продължиха своите фишинг атаки, насочени към граждани на Източна Европа.
Основните моменти в отчета за дейността на ESET APT са следните:
ESET откри, че в Украйна прословутата група Sandworm използва неизвестен досега софтуер за изтриване на данни срещу компания от енергийния сектор. Операциите на APT групи обикновено се извършват от държавни или спонсорирани от държавата участници. Атаката дойде по същото време, когато руските въоръжени сили нанесоха ракетни удари по енергийна инфраструктура през октомври. Въпреки че ESET не може да докаже координацията между тези атаки, той предвижда Sandworm и руската армия да имат една и съща цел.
ESET нарече NikoWiper най-новият в поредица софтуер за изчистване на данни, открит преди това. Този софтуер е използван срещу компания, работеща в енергийния сектор в Украйна през октомври 2022 г. NikoWiper е базиран на SDelete, помощна програма за команден ред, която Microsoft използва за сигурно изтриване на файлове. В допълнение към зловреден софтуер за изтриване на данни, ESET откри атаки Sandworm, които използват ransomware като чистач. Въпреки че в тези атаки се използва рансъмуер, основната цел е да се унищожат данни. За разлика от обикновените атаки на рансъмуер, операторите на Sandworm не предоставят ключ за дешифриране.
През октомври 2022 г. рансъмуерът Prestige беше открит от ESET като използван срещу логистични компании в Украйна и Полша. През ноември 2022 г. в Украйна беше открит нов ransomware, написан на .NET, наречен RansomBoggs. ESET Research публикува тази кампания в своя Twitter акаунт. Заедно с Sandworm, други руски APT групи като Callisto и Gamaredon продължиха своите украински насочени фишинг атаки за кражба на идентификационни данни и имплантиране на импланти.
Изследователите на ESET също откриха фишинг атака MirrorFace, насочена към политици в Япония, и забелязаха фазова промяна в насочването към някои свързани с Китай групи – Goblin Panda започна да копира интереса на Mustang Panda към европейските страни. През ноември ESET откри нова задна врата на Goblin Panda, която нарича TurboSlate, в правителствена агенция в Европейския съюз. Mustang Panda също продължи да се насочва към европейски организации. През септември товарач Korplug, използван от Mustang Panda, беше идентифициран в предприятие в енергийния и инженерния сектор на Швейцария.
Свързаните с Иран групи също продължиха атаките си – POLONIUM започна да се насочва към израелски компании, както и към техните чуждестранни филиали, а MuddyWater вероятно проникна в активен доставчик на услуги за сигурност.
Групи, свързани със Северна Корея, са използвали стари уязвимости в сигурността, за да проникнат в компании за криптовалута и борси по целия свят. Интересното е, че Konni разшири езиците, които използва в своите документи за капан, като добави английски към списъка си; което може да означава, че не се фокусира върху обичайните си руски и южнокорейски цели.
Бъдете първите, които коментират