APT Activity Report: Skupiny napojené na Čínu rozširujú svoje útoky na EÚ

BVF APT Activity Report H2 2024 nahladovy obrazok

Spoločnosť ESET vydala najnovšiu správu APT Activity Report, ktorá analyzuje aktivity vybraných skupín pokročilých pretrvávajúcich hrozieb (Advanced Persistent Threat – APT) zadokumentované výskumníkmi spoločnosti ESET od apríla 2024 do konca septembra 2024. Zmapovali rozmáhanie aktivít skupín napojených na Čínu v EÚ aj diplomatickú špionáž z dielne aktérov blízkych Iránu.

ESET zaznamenal výrazné rozšírenie cielenia zo strany skupiny MirrorFace, ktorá je napojená na Čínu. Zvyčajne sa zameriavala na japonské subjekty, po prvýkrát rozšírila svoje operácie o diplomatickú organizáciu v Európskej únii, pričom naďalej uprednostňovala japonské ciele. Okrem toho sa APT skupiny napojené na Čínu čoraz viac spoliehajú na open-source a multiplatformné riešenie SoftEther VPN, aby si udržali prístup do sietí obetí. Výskumníci tiež zaznamenali náznaky, že skupiny napojené na Irán by mohli využívať svoje kybernetické schopnosti na podporu diplomatickej špionáže a potenciálne aj kinetických operácií.

Zneužitie VPN platformy aktérmi blízkymi Číne

„Pokiaľ ide o hrozby, ktoré sú napojené na Čínu, zistili sme rozsiahle využívanie SoftEther VPN skupinou Flax Typhoon, zaznamenali sme, že skupina Webworm prešla zo svojho plnohodnotného backdooru na používanie SoftEther VPN Bridge na počítačoch patriacich vládnym organizáciám v EÚ a zaznamenali sme, že skupina GALLIUM nasadzuje SoftEther VPN servery u telekomunikačných operátorov v Afrike,“ hovorí riaditeľ výskumu hrozieb v spoločnosti ESET Jean-Ian Boutin. „Prvýkrát sme zaznamenali, že skupina MirrorFace sa zameriava na diplomatickú organizáciu v rámci EÚ, teda v regióne, ktorý zostáva stredobodom záujmu viacerých aktérov hrozieb napojených na Čínu, Severnú Kóreu a Rusko. Mnohé z týchto skupín sa zameriavajú najmä na vládne subjekty a sektor obrany,“ dodáva.

Skupiny napojené na Irán operujúce v Afrike

Na druhej strane, skupiny napojené na Irán kompromitovali niekoľko firiem poskytujúcich finančné služby v Afrike – na kontinente, ktorý je pre Irán geopoliticky dôležitý, uskutočnili kybernetickú špionáž proti Iraku a Azerbajdžanu, susedným krajinám, s ktorými má Irán zložité vzťahy, a zvýšili svoje operácie v sektore dopravy v Izraeli. Napriek tomuto zdanlivo úzkemu geografickému cieleniu si skupiny napojené na Irán zachovali globálne zameranie a ďalej sledovali diplomatických vyslancov vo Francúzsku či vzdelávacie organizácie v Spojených štátoch.

Útočníci spätí s KĽDR v honbe za peniazmi

Útočníci napojení na Severnú Kóreu pokračovali v honbe za ukradnutými finančnými prostriedkami – tradičnými menami aj kryptomenami. Zaznamenali sme, že tieto skupiny pokračovali v útokoch na obranné a letecké spoločnosti v Európe a USA, ako aj v útokoch na vývojárov kryptomien, think-tanky a mimovládne organizácie. Jedna z takýchto skupín, Kimsuky, začala zneužívať súbory Microsoft Management Console, ktoré zvyčajne používajú správcovia systému, ale môžu vykonávať akýkoľvek príkaz systému Windows. Okrem toho niekoľko skupín napojených na Severnú Kóreu často zneužívalo populárne cloudové služby.

Hackeri blízki Rusku a cielený phishing

A napokon, výskumníci spoločnosti ESET zistili, že kybernetické špionážne skupiny napojené na Rusko sa často zameriavajú na webmailové servery ako Roundcube a Zimbra, zvyčajne pomocou spearphishingových e-mailov, ktoré spúšťajú známe zraniteľnosti XSS. Okrem skupiny Sednita, ktorá sa zameriava na vládne, akademické a obranné subjekty po celom svete, ESET identifikoval ďalšiu skupinu napojenú na Rusko, GreenCube, ktorá kradne e-mailové správy prostredníctvom XSS zraniteľností v Roundcube. Ďalšie skupiny napojené na Rusko sa naďalej zameriavali na Ukrajinu, pričom Gamaredon nasadil rozsiahle spearphishingové kampane a zároveň prepracoval svoje nástroje s využitím a zneužitím aplikácií na zasielanie správ Telegram a Signal.

Okrem toho Sandworm využíval svoj nový backdoor pre systém Windows s názvom WrongSens. ESET analyzoval aj verejný hackerský únik dát z Poľskej antidopingovej agentúry, ktorý bol pravdepodobne kompromitovaný pôvodným sprostredkovateľom prístupu, ktorý následne zdieľal prístup s APT skupinou FrostyNeighbor, ktorá je napojená na Bielorusko a stojí za kybernetickými dezinformačnými kampaňami kritickými voči NATO.

Atraktívnym terčom vládne organizácie aj akademici

V Ázii spoločnosť ESET zaznamenala, že kampane sa naďalej zameriavali najmä na vládne organizácie. Výskum však zaznamenal aj zvýšený dôraz na sektor vzdelávania, najmä na výskumníkov a akademikov zameraných na Kórejský polostrov a juhovýchodnú Áziu. Tento posun bol spôsobený útočníkmi, ktorí konajú v súlade so záujmami Číny a Severnej Kórey. Lazarus, jedna zo skupín napojených na Severnú Kóreu, naďalej útočila na subjekty vo finančnom a technologickom sektore po celom svete. Na Blízkom východe pokračovalo niekoľko APT skupín napojených na Irán v útokoch na vládne organizácie, pričom najviac postihnutou krajinou bol Izrael.

Za posledné dve desaťročia sa Afrika stala pre Čínu významným geopolitickým partnerom a sme svedkami toho, ako skupiny, ktoré sa hlásia k Číne, rozširujú svoje aktivity na tomto kontinente. Na Ukrajine boli skupiny napojené na Rusko naďalej najaktívnejšie, pričom výrazne ovplyvňovali vládne subjekty, sektor obrany a základné služby, ako sú dodávky energie, vody a tepla.

Spomenuté operácie sú reprezentatívne pre širšie spektrum hrozieb, ktoré spoločnosť ESET v tomto období skúmala. Produkty spoločnosti ESET chránia systémy našich zákazníkov pred škodlivými aktivitami opísanými v tejto správe. Informácie o hrozbách, ktoré sú tu zdieľané, vychádzajú prevažne z vlastných telemetrických údajov spoločnosti ESET. Tieto analýzy hrozieb, známe ako ESET APT Reports PREMIUM, pomáhajú organizáciám, ktorých úlohou je chrániť občanov, kritickú národnú infraštruktúru a vysokohodnotné aktíva pred kybernetickými útokmi riadenými zločincami a národnými štátmi. Viac informácií o ESET APT Reports PREMIUM a jeho poskytovaní vysokokvalitných, strategických, akčných a taktických informácií o kybernetických hrozbách je k dispozícii na stránke ESET Threat Intelligence.