Kibernetinio saugumo sprendimų gamintoja ESET paskelbė naujausią pažangių nuolatinių grėsmių grupių (APT) ataskaitą, kurioje tyrėjai pateikė savo įžvalgas apie pasirinktų grupių veiklą nuo 2022 m. rugsėjo iki gruodžio pabaigos. Per šį laikotarpį su Rusija susijusios APT grupės ir toliau ypač aktyviai vykdė operacijas, nukreiptas į Ukrainą, diegdamos destruktyvius wiper tipo virusus ir išpirkos reikalaujančias programas. Kinijos grupė Goblin Panda pradėjo kopijuoti Mustang Panda susidomėjimą Europos šalimis. Irane įsikūrusi grupė taip pat toliau vykdė intensyvią veiklą.
Ukrainoje vėl buvo aptikta Sandworm grupė, naudojanti anksčiau niekur neaptiktą wiper tipo virusą prieš energetikos sektoriaus įmonę. APT grupes paprastai valdo valstybė arba valstybės remiami subjektai; aprašyta ataka įvyko spalio mėnesį tuo pačiu laikotarpiu, kai Rusijos ginkluotosios pajėgos pradėjo vykdyti raketų smūgius, nukreiptus į energetikos infrastruktūrą. Nors ESET negali įrodyti, kad šie įvykiai buvo derinami tarpusavyje, tai leidžia manyti, kad Sandworm ir Rusijos kariuomenė turi susijusių tikslų.
Naujausias wiper virusas iš anksčiau aptiktųjų serijos buvo pavadintas NikoWiper. Šis virusas 2022 m. spalio mėn. buvo panaudotas prieš energetikos sektoriaus įmonę Ukrainoje. NikoWiper remiasi SDelete, Microsoft komandinės eilutės įrankiu, kuris naudojamas saugiam failų ištrynimui.
2022 m. spalį buvo aptikta Prestige išpirkos reikalaujanti programinė įranga, kuri anksčiau buvo naudojama prieš logistikos įmones Ukrainoje ir Lenkijoje. O 2022 m. lapkritį Ukrainoje buvo aptikta visiškai naujas šio tipo kenkėjas, parašytas .NET kalba, kuris buvo pavadintas RansomBoggs. Apie šią kampaniją viešai pranešta Twitter paskyroje. Kartu su Sandworm kitos Rusijos APT grupės, tokios kaip Callisto ir Gamaredon, tęsė savo tikslines fišingo - duomenų vagystės (angl. spearphishing) kampanijas prieš Ukrainą, siekdamos pavogti prisijungimo duomenis ir įdiegti atitinkamus įskiepius.
Taip pat tyrėjai aptiko MirrorFace tikslinę fišingo kampaniją, nukreiptą į politines struktūras Japonijoje, ir pastebėjo laipsniškus pokyčius kai kurių su Kinija susijusių grupių taikinyje - Goblin Panda pradėjo kopijuoti Mustang Panda susidomėjimą Europos šalimis. Praėjusių metų lapkritį vienoje Europos Sąjungos vyriausybinėje organizacijoje buvo aptiktas naujas Goblin Panda atgalinių durų virusas TurboSlate. Mustang Panda taip pat toliau taikėsi į Europos organizacijas: praėjusių metų rugsėjį buvo pastebėtas šios grupės naudojamas Korplug kroviklį Šveicarijos energetikos ir inžinerijos sektoriaus organizacijoje.
Su Iranu siejamos grupuotės taip pat tęsė savo atakas - be įmonių, esančių pačiame Izraelyje, POLONIUM taip pat pradėjo atakuoti Izraelio įmonių užsienio padalinius, o MuddyWater galimai įsilaužė į valdomų saugumo paslaugų teikėjo sistemas.
Šiaurės Korėjai priklausančios grupuotės pasinaudojo senomis spragomis, kad pažeistų kriptovaliutų įmones ir keityklas įvairiose pasaulio vietose. Įdomu tai, kad Konni išplėtė kalbų, kurias naudoja savo apgaulinguose dokumentuose, spektrą, ir įtraukė anglų kalbą, o tai gali reikšti, kad grupė sieks ne tik įprastus Rusijos ir Pietų Korėjos taikinius.
Daugiau techninės informacijos rasite pilnoje ESET APT veiklos ataskaitoje.