Prema izvještaju istraživača ESET-a, APT grupe povezane s Rusijom nastavile su da učestvuju u operacijama koje su posebno ciljale Ukrajinu, koristeći destruktivne alate za brisanje podataka i ransomware tokom ovog perioda. Goblin Panda, kineska grupa, počela je kopirati interes Mustang Pande u evropskim zemljama. Grupe povezane s Iranom također djeluju na visokom nivou. Zajedno sa Sandwormom, drugim ruskim APT grupama kao što je Callisto, Gamaredon je nastavio sa svojim phishing napadima usmjerenim na građane istočne Evrope.
Najvažniji detalji ESET APT izvještaja o aktivnostima su sljedeći:
ESET je otkrio da u Ukrajini ozloglašena Sandworm grupa koristi prethodno nepoznati softver za brisanje podataka protiv kompanije iz energetskog sektora. Operacije APT grupa obično izvode učesnici koje sponzoriše država ili država. Napad je uslijedio u isto vrijeme kada su ruske oružane snage izvele raketne napade na energetsku infrastrukturu u oktobru. Iako ESET ne može dokazati koordinaciju između ovih napada, predviđa da Sandworm i ruska vojska imaju isti cilj.
ESET je NikoWiper nazvao najnovijim u nizu prethodno otkrivenih softvera za brisanje podataka. Ovaj softver je korišten protiv kompanije koja posluje u energetskom sektoru u Ukrajini u oktobru 2022. NikoWiper je zasnovan na SDelete, uslužnom programu komandne linije koji Microsoft koristi za bezbedno brisanje datoteka. Pored zlonamjernog softvera za brisanje podataka, ESET je otkrio napade Sandworm-a koji koriste ransomware kao sredstvo za brisanje. Iako se u ovim napadima koristi ransomware, glavna svrha je uništavanje podataka. Za razliku od uobičajenih ransomware napada, Sandworm operateri ne daju ključ za dešifriranje.
U oktobru 2022. ESET je otkrio da se Prestige ransomware koristi protiv logističkih kompanija u Ukrajini i Poljskoj. U novembru 2022. u Ukrajini je otkriven novi ransomware napisan na .NET-u pod nazivom RansomBoggs. ESET Research je ovu kampanju objavio javno na svom Twitter nalogu. Zajedno sa Sandwormom, druge ruske APT grupe kao što su Callisto i Gamaredon nastavile su sa svojim ukrajinskim ciljanim phishing napadima kako bi ukrali vjerodajnice i implantate.
Istraživači ESET-a su također otkrili MirrorFace phishing napad usmjeren na političare u Japanu i primijetili fazni pomak u ciljanju nekih grupa povezanih s Kinom – Goblin Panda je počeo kopirati interes Mustang Pande u evropskim zemljama. U novembru, ESET je otkrio novi backdoor Goblin Panda koji se zove TurboSlate u vladinoj agenciji u Evropskoj uniji. Mustang Panda je takođe nastavio da cilja na evropske organizacije. U septembru je u jednom preduzeću u sektoru energetike i inženjeringa u Švajcarskoj identifikovan utovarivač Korplug koji koristi Mustang Panda.
Grupe povezane s Iranom su također nastavile s napadima – POLONIUM je počeo ciljati izraelske kompanije kao i njihove strane podružnice, a MuddyWater se vjerovatno infiltrirao u aktivnog pružaoca sigurnosnih usluga.
Grupe povezane sa Sjevernom Korejom koristile su stare sigurnosne propuste da infiltriraju kompanije za kriptovalute i berze širom svijeta. Zanimljivo je da je Konni proširio jezike koje je koristio u svojim trap dokumentima, dodajući engleski na svoju listu; što bi moglo značiti da se ne fokusira na svoje uobičajene ruske i južnokorejske mete.
Budite prvi koji će komentirati