Podľa správy výskumníkov spoločnosti ESET sa skupiny APT napojené na Rusko v tomto období naďalej zúčastňovali na operáciách špecificky zameraných na Ukrajinu, pričom používali deštruktívne stierače dát a ransomvér. Skupina Goblin Panda, pridružená k Číne, začala kopírovať záujem Mustang Panda o európske krajiny. Na vysokej úrovni fungujú aj skupiny napojené na Irán. Spolu s Sandworm, ďalšie ruské skupiny APT ako Callisto, Gamaredon pokračovali vo svojich phishingových útokoch zameraných na občanov východnej Európy.
Najdôležitejšie správy o činnosti ESET APT sú nasledovné:
ESET zistil, že na Ukrajine notoricky známa skupina Sandworm používa predtým neznámy softvér na stieranie dát proti spoločnosti z energetického sektora. Operácie skupín APT zvyčajne vykonávajú štátni alebo štátom sponzorovaní účastníci. K útoku došlo v rovnakom čase, keď ruské ozbrojené sily v októbri spustili raketové útoky zamerané na energetickú infraštruktúru. Hoci ESET nemôže dokázať koordináciu medzi týmito útokmi, predpokladá, že Sandworm a ruská armáda majú rovnaký cieľ.
Spoločnosť ESET označila NikoWiper za najnovší zo série softvéru na stieranie údajov, ktorý už bol objavený. Tento softvér bol v októbri 2022 použitý proti spoločnosti pôsobiacej v energetickom sektore na Ukrajine. NikoWiper je založený na SDelete, nástroji príkazového riadka, ktorý spoločnosť Microsoft používa na bezpečné odstraňovanie súborov. Okrem malvéru na vymazávanie údajov ESET objavil útoky Sandworm, ktoré používajú ransomvér ako stierač. Hoci sa pri týchto útokoch používa ransomvér, hlavným účelom je zničenie dát. Na rozdiel od bežných útokov ransomware operátori Sandworm neposkytujú dešifrovací kľúč.
V októbri 2022 spoločnosť ESET zistila, že ransomvér Prestige sa používa proti logistickým spoločnostiam na Ukrajine a v Poľsku. V novembri 2022 bol na Ukrajine objavený nový ransomvér napísaný v .NET s názvom RansomBoggs. ESET Research zverejnil túto kampaň na svojom účte na Twitteri. Spolu so Sandwormom pokračovali ďalšie ruské skupiny APT ako Callisto a Gamaredon vo svojich ukrajinských cielených phishingových útokoch s cieľom ukradnúť poverenia a implantovať implantáty.
Výskumníci ESET tiež odhalili phishingový útok MirrorFace zameraný na politikov v Japonsku a zaznamenali fázový posun v zameraní sa na niektoré skupiny spojené s Čínou – Goblin Panda začala kopírovať záujem Mustang Panda o európske krajiny. V novembri ESET objavil nové zadné vrátka Goblin Panda, ktoré nazývajú TurboSlate vo vládnej agentúre v Európskej únii. Mustang Panda sa naďalej zameriaval aj na európske organizácie. V septembri bol v podniku vo švajčiarskom energetickom a strojárskom sektore identifikovaný nakladač Korplug používaný Mustangom Panda.
V útokoch pokračovali aj skupiny napojené na Irán – POLONIUM sa začalo zameriavať na izraelské spoločnosti, ako aj na ich zahraničné dcérske spoločnosti a MuddyWater pravdepodobne infiltroval aktívneho poskytovateľa bezpečnostných služieb.
Skupiny napojené na Severnú Kóreu využili staré bezpečnostné slabiny na infiltráciu kryptomenových spoločností a búrz po celom svete. Zaujímavé je, že Konni rozšíril jazyky, ktoré používal vo svojich pascových dokumentoch, a pridal do svojho zoznamu angličtinu; čo by mohlo znamenať, že sa nezameriava na svoje obvyklé ruské a juhokórejské ciele.
Buďte prvý komentár