איזה קבוצות תקיפה היו פעילות במיוחד בסוף 2023?

למאמר הבא
ESET

דו"ח הפעילות של קבוצות התקיפה המסכם פעילות של קבוצות תקיפה נבחרות אשר נצפו, נחקרו ונותחו על-ידי חוקרי ESET מתפרסם כעת עם ממצאים לחודשים שבין ספטמבר לסוף דצמבר (T3) 2022.

במהלך תקופה זו, קבוצות APT המזוהות עם רוסיה המשיכו להיות מעורבות במיוחד בפעולות המכוונות נגד אוקראינה, תוך פריסת נוזקות מסוג Wiper ותוכנות כופר. גם קבוצות המזוהות עם איראן המשיכו לפעול בהיקף גבוה.

באוקראינה, ESET זיהתה את קבוצת Sandworm הידועה לשמצה באמצעות wiper חדש נגד חברה במגזר האנרגיה. בדרך כלל, שחקנים בחסות של מדינות הם אלו שמפעילים קבוצות APT; המתקפה המתוארת התרחשה בחודש אוקטובר באותה תקופה שבה החלו הכוחות של רוסיה לשגר התקפות טילים לעבר תשתיות אנרגיה.

בנוסף לנוזקות מחיקת נתונים, ESET גילתה התקפות נוספות של Sandworm באמצעות נוזקות כופר כ-Wiper. בהתקפות אלה, למרות שנעשה שימוש בנוזקות כופר, המטרה הסופית הייתה זהה לזו של מוחקי המידע: השמדת נתונים. בניגוד למתקפות כופר מסורתיות, מפעילי Sandworm אינם מתכוונים לספק מפתח פענוח.

חוקרי ESET זיהו גם קמפיין ספייר פישינג (פישינג ממוקד) של קבוצת התקיפה MirrorFace המכוון נגד מטרות פוליטיות ביפן והבחינו בשינוי הדרגתי במיקוד של כמה קבוצות המזוהות עם סין כמו קבוצת Goblin Panda אשר החלה לפתח עניין דומה לקבוצת Mustang Panda במדינות אירופה.

בנובמבר האחרון, ESET גילתה דלת אחורית חדשה של Goblin Panda, שקראנו לה TurboSlate, בארגון ממשלתי באיחוד האירופי. מוסטנג פנדה המשיכה לתקוף ארגונים אירופיים כאשר בספטמבר האחרון זיהינו Loader של קבוצת Korplug המשמש את מוסטנג פנדה בארגון בתחום האנרגיה וההנדסה בשוויץ.

גם קבוצות המזוהות עם איראן המשיכו לתקוף – כאשר מלבד חברות ישראליות, POLONIUM החלה לתקוף גם חברות בת זרות של חברות ישראליות, ו-MuddyWater ככל הנראה הצליחה לפגוע בספקית שירותי אבטחה.

קבוצות המזוהות עם צפון קוריאה השתמשו בפרצות ישנות כדי לפגוע בחברות קריפטו ובבורסות בחלקים שונים של העולם. באופן מעניין, Konni הרחיבה את רפרטואר השפות שבהן היא משתמשת במסמכי ההטעיה שלה כדי לכלול אנגלית, מה שאומר שיתכן שהקבוצה לא מכוונת ליעדים הרוסיים והדרום קוריאניים הרגילים שלה.

ניתן לקרוא את הדו"ח במלואו, כאן.