Компания ESET – лидер в области информационной безопасности – подготовила обзор активности APT-групп киберпреступников в апреле-сентябре 2024 года. За этот период исследователи ESET обнаружили расширение целей киберпреступников, новые атаки на серверы веб-почты с помощью фишинговых писем и злоупотребление популярными облачными сервисами. В то же время некоторые группы злоумышленников могли использовать свои кибервозможности для дипломатического шпионажа.
Стоит отметить, что APT-группа – это группировка высококвалифицированных хакеров, деятельность которых часто спонсируется определенным государством. Их целью является получение конфиденциальных данных правительственных учреждений, высокопоставленных лиц или стратегических компаний и при этом избежание обнаружения. Такие группы киберпреступников имеют большой опыт и используют сложные вредоносные инструменты и ранее неизвестные уязвимости.
Исследователи ESET обнаружили заметное увеличение количества целей группы MirrorFace, связанной с Китаем. Как правило, сосредоточенные на японских организациях, киберпреступники на этот раз также добавили в свои цели дипломатическую организацию в Европейском Союзе. Кроме того, APT-группы, связанные с Китаем, все больше использовали мультиплатформенную SoftEther VPN с открытым кодом для поддержки доступа к сетям жертв.
Тем временем группы, связанные с Ираном, могли использовать угрозы для дипломатического шпионажа. Эти группы скомпрометировали несколько компаний по предоставлению финансовых услуг в Африке, совершали кибершпионские действия против соседних стран – Ирака и Азербайджана. Кроме того, группы, связанные с Ираном, преследовали дипломатических представителей во Франции и образовательные организации в Соединенных Штатах Америки.
Связанные с Северной Кореей группы продолжали атаковать оборонные и аэрокосмические компании в Европе и США, а также нацелились на разработчиков криптовалют, аналитические центры и неправительственные организации. Одна из таких групп, Kimsuky, начала использовать файлы Microsoft Management Console, которые применяют системные администраторы и которые могут выполнять любые команды Windows. Кроме того, несколько других групп часто злоупотребляли популярными облачными сервисами, в частности, Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub и Bitbucket. Также впервые зафиксировано несанкционированное использование облачных сервисов Zoho APT-группой под названием ScarCruft.
Группы киберпреступников, связанные с Россией, часто атаковали серверы веб-почты, например, Roundcube и Zimbra, как правило с помощью фишинговых писем, которые запускают известные уязвимости XSS. Помимо группы Sednit, нацеленной на правительственные и связанные с оборонной отраслью организации по всему миру, исследователи ESET обнаружили еще одну группу GreenCube, которая осуществляла кражу электронных писем через уязвимости XSS в Roundcube. Другие киберпреступники, связанные с Россией, продолжали фокусироваться на Украине, а группа Gamaredon запустила крупные фишинговые кампании, а также несанкционированно использовала приложения Telegram и Signal.
Исследователи ESET заметили, что в странах Азии атаки киберпреступников были направлены преимущественно на правительственные организации, сосредотачиваясь и на образовательной отрасли. Группа Lazarus, связанная с Северной Кореей, продолжала атаковать финансовые и технологические компании по всему миру. На Ближнем Востоке несколько связанных с Ираном APT-групп продолжали атаковать правительственные организации, при этом Израиль больше всего пострадал от деятельности злоумышленников.
Для противодействия атакам APT-групп компаниям важно обеспечить максимальную защиту благодаря комплексному подходу к безопасности, в частности позаботиться о мощной защите устройств с помощью расширенного обнаружения и реагирования на угрозы, расширенного анализа в облаке и шифрования данных, а также понимать возможные векторы атак и особенности деятельности определенных групп, которые доступны именно в отчетах об APT-угрозах.
Исследователи ESET готовят подробную техническую информацию, постоянно обновляя данные о деятельности определенных APT-групп в форме расширенных отчетов, чтобы помочь соответствующим организациям защищать пользователей, критическую инфраструктуру и другие важные активы от целенаправленных кибератак. Дополнительные сведения о расширенных APT-отчетах, предоставляемых в рамках сервиса ESET Threat Intelligence, доступны по ссылке.
Подробнее о деятельности APT-групп читайте в полном отчете ESET.