Η ESET δημοσίευσε τη νεότερη έκθεση σχετικά με τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που παρατηρήθηκαν, ερευνήθηκαν και αναλύθηκαν από τους ερευνητές της ESET από τον Απρίλιο του 2023 έως το τέλος Σεπτεμβρίου 2023. Ειδικότερα, η έρευνα της ESET παρατήρησε διάφορες ομάδες APT που εκμεταλλεύονται γνωστές ευπάθειες για να αποσπάσουν δεδομένα από κυβερνητικές οντότητες ή συναφείς οργανισμούς. Η έκθεση διερευνά τις επίμονες εκστρατείες στην Ευρωπαϊκή Ένωση από ομάδες που είναι προσκείμενες προς την Κίνα και την εξέλιξη του κυβερνοπολέμου της Ρωσίας στην Ουκρανία που περιλαμβάνει από σαμποτάζ μέχρι κατασκοπεία.
Οι ομάδες Sednit και Sandworm που πρόσκεινται στη Ρωσία, η προσκείμενη στη Βόρεια Κορέα Konni και οι γεωγραφικά μη προσκείμενες Winter Vivern και SturgeonPhisher εκμεταλλεύτηκαν την ευκαιρία να χρησιμοποιήσουν ευπάθειες στο WinRAR (Sednit, SturgeonPhisher και Konni), στο Roundcube (Sednit και Winter Vivern), στο Zimbra (Winter Vivern) και στο Outlook for Windows (Sednit) για να επιτεθούν σε διάφορους κρατικούς οργανισμούς, όχι μόνο στην Ουκρανία αλλά και στην Ευρώπη και την Κεντρική Ασία. Όσον αφορά στους φορείς απειλών που συνδέονται με την Κίνα, η ομάδα GALLIUM πιθανώς εκμεταλλεύτηκε αδυναμίες σε διακομιστές Microsoft Exchange ή διακομιστές IIS, επεκτείνοντας τη στόχευση φορέων εκμετάλλευσης τηλεπικοινωνιών και κρατικών οργανισμών σε όλο τον κόσμο- η MirrorFace πιθανόν εκμεταλλεύτηκε ευπάθειες στην υπηρεσία ηλεκτρονικής αποθήκευσης Proself- και η ομάδα TA410 πιθανόν εκμεταλλεύτηκε ελαττώματα στον διακομιστή εφαρμογών Adobe ColdFusion.
Οι ομάδες που πρόσκεινται στο Ιράν και τις χώρες της Μέσης Ανατολής συνέχισαν να δραστηριοποιούνται σε μεγάλο βαθμό, εστιάζοντας κυρίως στην κατασκοπεία και την κλοπή δεδομένων από οργανισμούς στο Ισραήλ. Αξίζει να σημειωθεί ότι η MuddyWater, η οποία πρόσκειται στο Ιράν, επιτέθηκε επίσης μια άγνωστη οντότητα στη Σαουδική Αραβία, αναπτύσσοντας ένα payload που υποδηλώνει την πιθανότητα αυτός ο φορέας απειλής να λειτουργεί ως ομάδα ανάπτυξης πρόσβασης για κάποια άλλη, πιο προηγμένη ομάδα.
Ο πρωταρχικός στόχος των ομάδων που συνδέονται με τη Ρωσία παρέμεινε η Ουκρανία, όπου ανακαλύψαμε νέες εκδόσεις των γνωστών wipers RoarBat και NikoWiper και ένα νέο wiper που ονομάσαμε SharpNikoWiper, όλα ανεπτυγμένα από την ομάδα Sandworm. Είναι ενδιαφέρον ότι, ενώ άλλες ομάδες – όπως οι Gamaredon, GREF και SturgeonPhisher – έχουν ως στόχο χρήστες του Telegram για να προσπαθήσουν να κλέψουν πληροφορίες ή κάποια μεταδεδομένα που σχετίζονται με το Telegram, η ομάδα Sandworm χρησιμοποιεί ενεργά αυτή την υπηρεσία για σκοπούς ενεργών μέτρων, διαφημίζοντας τις επιχειρήσεις κυβερνοσαμποτάζ της. Ωστόσο, η πιο δραστήρια ομάδα στην Ουκρανία συνέχισε να είναι η Gamaredon, η οποία ενίσχυσε σημαντικά τις δυνατότητες συλλογής δεδομένων με την αναβάθμιση των υφιστάμενων εργαλείων και την ανάπτυξη νέων.
Οι ομάδες που πρόσκεινται στη Βόρεια Κορέα συνέχισαν να επικεντρώνουν τη δραστηριότητα τους στην Ιαπωνία και τη Νότια Κορέα, χρησιμοποιώντας προσεκτικά σχεδιασμένα spear phishing emails. Το πιο ενεργό σχήμα Lazarus που παρατηρήθηκε ήταν το Operation DreamJob, το οποίο δελεάζει τους στόχους με ψεύτικες προσφορές για επικερδείς θέσεις εργασίας. Αυτή η ομάδα επέδειξε σταθερά την ικανότητά της να δημιουργεί κακόβουλο λογισμικό για όλες τις μεγάλες πλατφόρμες υπολογιστών.
Τέλος, οι ερευνητές μας αποκάλυψαν τις δραστηριότητες τριών ομάδων που συνδέονται με την Κίνα και δεν είχαν προηγουμένως αναγνωριστεί: DigitalRecyclers, που επανειλημμένα έθεσε σε κίνδυνο έναν κρατικό οργανισμό στην ΕΕ- TheWizards, που πραγματοποιούσε επιθέσεις adversary-in-the-middle- και PerplexedGoblin, που είχε ως στόχο έναν άλλο κρατικό οργανισμό στην ΕΕ.
Οι αναφορές δραστηριότητας των ομάδων APT της ESET περιέχουν μόνο ένα μέρος των πληροφοριών κυβερνοασφάλειας που παρέχονται στους πελάτες των ιδιωτικών αναφορών APT της ESET. Οι ερευνητές της ESET προετοιμάζουν λεπτομερείς τεχνικές εκθέσεις και συχνές ενημερώσεις δραστηριότητας που περιγράφουν λεπτομερώς τις δραστηριότητες συγκεκριμένων ομάδων APT, με τη μορφή των ESET APT Reports PREMIUM, για να βοηθήσουν τους οργανισμούς που έχουν αναλάβει την προστασία των πολιτών, των κρίσιμων εθνικών υποδομών και των περιουσιακών στοιχείων υψηλής αξίας από κυβερνοεπιθέσεις που γίνονται από κυβερνοεγκληματίες ή κατευθύνονται από εθνικούς/κρατικούς φορείς. Ως εκ τούτου, οι ολοκληρωμένες περιγραφές των δραστηριοτήτων που περιγράφονται σε αυτό το έγγραφο έχουν προηγουμένως διατεθεί αποκλειστικά στους premium πελάτες μας.
Περισσότερες πληροφορίες σχετικά με τις ESET APT Reports PREMIUM, οι οποίες παρέχουν υψηλής ποιότητας, στρατηγικές, αξιοποιήσιμες και τακτικές πληροφορίες για απειλές στον κυβερνοχώρο, είναι διαθέσιμες στην ιστοσελίδα της ESET Threat Intelligence. Για περισσότερες τεχνικές πληροφορίες, ανατρέξτε στην Έκθεση δραστηριότητας APT της ESET στο WeLiveSecurity. Βεβαιωθείτε ότι ακολουθείτε την ESET Research στο Twitter (τώρα γνωστό ως X) για τα τελευταία νέα.
