Podle zprávy výzkumníků ESET se skupiny APT napojené na Rusko v tomto období nadále účastnily operací konkrétně zaměřených na Ukrajinu a využívaly destruktivní stěrače dat a ransomware. Goblin Panda, skupina přidružená k Číně, začala kopírovat zájem Mustang Panda o evropské země. Na vysoké úrovni operují i skupiny napojené na Írán. Spolu s Sandworm, další ruské skupiny APT jako Callisto, Gamaredon pokračovaly ve svých phishingových útocích zaměřených na východoevropské občany.
Nejdůležitější zprávy ESET APT Activity Report jsou následující:
ESET zjistil, že na Ukrajině notoricky známá skupina Sandworm používá dříve neznámý software pro vymazávání dat proti společnosti z energetického sektoru. Operace skupin APT jsou obvykle prováděny státem nebo státem podporovanými účastníky. K útoku došlo ve stejnou dobu, kdy ruské ozbrojené síly v říjnu zahájily raketové útoky zaměřené na energetickou infrastrukturu. I když ESET nemůže prokázat koordinaci mezi těmito útoky, předpokládá, že Sandworm a ruská armáda mají stejný cíl.
Společnost ESET pojmenovala NikoWiper jako nejnovější ze série dříve objeveného softwaru pro mazání dat. Tento software byl použit proti společnosti působící v energetickém sektoru na Ukrajině v říjnu 2022. NikoWiper je založen na SDelete, nástroji příkazového řádku, který Microsoft používá k bezpečnému mazání souborů. Kromě malwaru pro mazání dat ESET objevil útoky Sandworm, které používají ransomware jako stěrač. Přestože se při těchto útocích používá ransomware, hlavním účelem je zničit data. Na rozdíl od běžných ransomwarových útoků operátoři Sandworm neposkytují dešifrovací klíč.
V říjnu 2022 byl ransomware Prestige detekován společností ESET jako používaný proti logistickým společnostem na Ukrajině a v Polsku. V listopadu 2022 byl na Ukrajině objeven nový ransomware napsaný v .NET s názvem RansomBoggs. Společnost ESET Research zveřejnila tuto kampaň na svém Twitteru. Spolu s Sandworm pokračovaly další ruské skupiny APT jako Callisto a Gamaredon ve svých ukrajinských cílených phishingových útocích s cílem ukrást přihlašovací údaje a implantovat implantáty.
Výzkumníci ESET také odhalili phishingový útok MirrorFace zaměřený na politiky v Japonsku a zaznamenali fázový posun v cílení na některé skupiny napojené na Čínu – Goblin Panda začala kopírovat zájem Mustang Panda o evropské země. V listopadu ESET objevil u vládní agentury v Evropské unii nové zadní vrátka Goblin Panda, které nazývá TurboSlate. Mustang Panda také nadále cílil na evropské organizace. V září byl v podniku ve švýcarském energetickém a strojírenském sektoru identifikován nakladač Korplug používaný Mustangem Panda.
V útocích pokračovaly i skupiny napojené na Írán – POLONIUM se začalo zaměřovat na izraelské společnosti i jejich zahraniční dceřiné společnosti a MuddyWater pravděpodobně infiltroval aktivního poskytovatele bezpečnostních služeb.
Skupiny napojené na Severní Koreu využily staré bezpečnostní chyby k infiltraci kryptoměnových společností a burz po celém světě. Zajímavé je, že Konni rozšířil jazyky, které používal ve svých dokumentech o pasti, a přidal na svůj seznam angličtinu; což by mohlo znamenat, že se nezaměřuje na své obvyklé ruské a jihokorejské cíle.
Buďte první kdo napíše komentář