Prehľad aktivít vybraných APT skupín skúmaných a analyzovaných spoločnosťou ESET v 2. a 3. štvrťroku 2023. Škodlivé aktivity popísané v správe boli detegované produktmi spoločnosti ESET. Zdieľané informácie sú založené najmä na vlastných telemetrických dátach spoločnosti ESET a boli overené výskumníkmi spoločnosti ESET.
Spoločnosť ESET zverejnila svoju najnovšiu správu o aktivitách vybraných skupín pokročilých pretrvávajúcich hrozieb (APT), ktoré boli pozorované, skúmané a analyzované výskumníkmi spoločnosti ESET od apríla 2023 do konca septembra 2023. Výskumníci spoločnosti ESET zaznamenali zneužívanie známych zraniteľností rôznymi APT skupinami, ktoré sa snažili získať údaje od vládnych inštitúcií. Svoje zistenia predstavili výskumníci spoločnosti ESET počas konferencie Tech4Good v Aténach. Bližšie sa pritom pozreli na kampane skupín blízkych Číne v Európskej únii a na vývoj ruskej kybernetickej vojny v Ukrajine od sabotáže k špionáži.
APT skupiny zneužívali zraniteľnosti
Skupiny Sednit a Sandworm napojené na Rusko, Konni napojená na Severnú Kóreu, a geograficky nedefinované Winter Vivern a SturgeonPhisher zneužili zraniteľnosti vo WinRAR (Sednit, SturgeonPhisher a Konni), Roundcube (Sednit a Winter Vivern), Zimbra (Winter Vivern) a Outlook pre Windows (Sednit) na útok na rôzne vládne organizácie nielen na Ukrajine, ale aj v Európe a Strednej Ázii. Pokiaľ ide o útočníkov napojených na Čínu, skupina GALLIUM pravdepodobne využívala slabiny v serveroch Microsoft Exchange alebo IIS, čím rozšírila svoje zacielenie z telekomunikačných operátorov na vládne organizácie na celom svete. Hackeri z MirrorFace zas pravdepodobne zneužívali slabé miesta v službe online úložiska Proself a skupina TA410 pravdepodobne využila chyby v aplikačnom serveri Adobe ColdFusion.
Skupiny napojené na Irán sa zamerali na Izrael
Vo svojej činnosti vo veľkom pokračovali aj skupiny napojené na Irán a Blízky východ, pričom sa zameriavali najmä na špionáž a krádeže údajov z organizácií v Izraeli. Pozoruhodné je, že na Irán napojená skupina MuddyWater sa zamerala aj na neidentifikovaný subjekt v Saudskej Arábii, pričom nasadila malvér, ktorý naznačuje možnosť, že táto skupina slúži ako vývojový tím pre pokročilejšiu skupinu.
Hlavným cieľom ruských hackerov zostáva Ukrajina
Hlavným cieľom skupín napojených na Rusko zostala Ukrajina. Výskumníci spoločnosti ESET tam objavili nové verzie známych wiperov RoarBat a NikoWiper a nový wiper, ktorý nazvali SharpNikoWiper, všetky nasadené skupinou Sandworm. Zaujímavé je, že zatiaľ čo iné skupiny – napríklad Gamaredon, GREF a SturgeonPhisher – sa zameriavajú na používateľov služby Telegram a snažia sa exfiltrovať informácie alebo aspoň niektoré metadáta súvisiace s Telegramom, Sandworm využíva túto službu na účely propagandy, pričom propaguje svoje operácie kybernetickej sabotáže. Najaktívnejšou skupinou na Ukrajine však naďalej zostávala skupina Gamaredon, ktorá výrazne rozšírila svoje schopnosti zhromažďovania údajov prepracovaním existujúcich nástrojov a nasadením nových.
Lazarus lákal na falošné pracovné ponuky
Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na Japonsko, Južnú Kóreu a subjekty zamerané na Južnú Kóreu, pričom využívali starostlivo pripravené spearphishingové e-maily. Najaktívnejšou pozorovanou schémou skupiny Lazarus bola operácia DreamJob, ktorá lákala obete falošnými pracovnými ponukami na lukratívne pozície. Táto skupina neustále preukazovala svoju schopnosť vytvárať škodlivý softvér pre všetky hlavné počítačové platformy.
Skupiny spriaznené s Čínou operovali aj v EÚ.
Napokon ESET odhalil činnosť troch predtým neidentifikovaných skupín napojených na Čínu: DigitalRecyclers, ktorá opakovane kompromituje vládnu organizáciu v EÚ, TheWizards, ktorá vykonáva útoky typu adversary-in-the-middle, a PerplexedGoblin, ktorá sa zameriava na ďalšiu vládnu organizáciu v EÚ.
Krajiny a regióny zasiahnuté APT skupinami
- Arménsko
- Bangladéš
- Čína
- Stredná Ázia
- Chorvátsko
- Česko
- Európska únia
- Francúzska Polynézia
- Grécko
- Guyana
- Hongkong
- Izrael
- Japonsko
- Kuvajt
- Mali
- Pakistan
- Filipíny
- Poľsko
- Saudská Arábia
- Srbsko
- Slovensko
- Južná Kórea
- Tadžikistan
- Turecko
- Ukrajina
- Spojené arabské emiráty
- Spojené štáty americké
- Ujguri a iné turkické etnické menšiny
Sektory zasiahnuté APT skupinami
- Spoločnosti prevádzkujúce hazardné hry a ich zákazníci
- Vládne organizácie a subjekty
- Poskytovatelia hostingových služieb
- Priemyselné siete
- IT spoločnosti
- Miestne samosprávy a inštitúcie
- Mediálne organizácie
- Politické subjekty
- Súkromné spoločnosti
- Vedci a novinári špecializujúci sa na Severnú Kóreu
- Výskumné ústavy
- Telekomunikační operátori
- Univerzity
ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke.
