ESET Research publicēja jaunāko APT aktivitātes ziņojumu, kurā apkopoti atklājumi par atsevišķām progresīvo pastāvīgo draudu (APT) grupām, kuras ESET pētnieki novēroja, pētīja un analizēja laikā no 2022. gada septembra līdz decembra beigām (T3). Šajā periodā ar Krieviju saistītas APT grupas turpināja būt īpaši iesaistītas operācijās, kas vērstas pret Ukrainu, izvietojot destruktīvus tīrīšanas programmas un izpirkuma makus. Ar Ķīnu saistītā grupa Goblin Panda sāka dublēt Mustang Panda interesi par Eiropas valstīm. Arī ar Irānu saistītas grupas turpināja darboties lielā apjomā.
Ukrainā ESET atklāja bēdīgi slaveno Sandworm grupu, kas izmantoja iepriekš nezināmu tīrītāju pret kādu enerģētikas nozares uzņēmumu. Nacionālo valstu vai valsts sponsorēti dalībnieki parasti darbojas ar APT grupām; aprakstītais uzbrukums notika oktobrī tajā pašā laikā, kad Krievijas bruņotie spēki sāka veikt raķešu triecienus, kuru mērķis bija enerģētikas infrastruktūra. Lai gan ESET nespēj pierādīt, ka šie notikumi būtu bijuši koordinēti, tas liek domāt, ka Sandworm un Krievijas bruņotajiem spēkiem ir saistīti mērķi.
ESET ir nosaucis jaunāko tīrītāju no iepriekš atklāto tīrītāju sērijas - NikoWiper. Šis tīrītājs tika izmantots pret kādu enerģētikas nozares uzņēmumu Ukrainā 2022. gada oktobrī. NikoWiper ir balstīts uz SDelete, Microsoft komandrindas utilītu, kas tiek izmantots drošai failu dzēšanai.
Papildus datu dzēšanas ļaunprogrammatūrai ESET atklāja arī Sandworm uzbrukumus, kuros kā tīrītājs tiek izmantota izpirkuma maksa. Šajos uzbrukumos, lai gan tika izmantota izpirkuma maksa, galamērķis bija tāds pats kā tīrīšanas programmatūrai: datu iznīcināšana. Atšķirībā no tradicionālajiem izspiedējvīrusu uzbrukumiem Sandworm operatori neplāno sniegt atšifrēšanas atslēgu.
2022. gada oktobrī ESET atklāja Prestige izspiedējvīrusu, kas tika izmantots pret loģistikas uzņēmumiem Ukrainā un Polijā. Savukārt 2022. gada novembrī ESET atklāja jaunu izspiedējvīrusu Ukrainā, kas rakstīts .NET vidē un ko mēs nosaucām par RansomBoggs. ESET Research publiski ziņoja par šo kampaņu savā Twitter kontā. Līdzās Sandworm arī citas Krievijas APT grupas, piemēram, Callisto un Gamaredon, ir turpinājušas spearphishing kampaņas pret Ukrainu, lai nozagtu akreditācijas datus un instalētu implantus.
ESET pētnieki konstatēja arī spearphishing kampaņu MirrorFace, kas bija vērsta pret politiskajām struktūrām Japānā, un pamanīja pakāpeniskas izmaiņas dažu ar Ķīnu saistītu grupu mērķauditorijā - Goblin Panda sāka dublēt Mustang Panda interesi par Eiropas valstīm. Pagājušā gada novembrī ESET atklāja jaunu Goblin Panda backdoor, ko mēs nosaucām par TurboSlate, kādā Eiropas Savienības valdības organizācijā. Mustang Panda arī turpināja mērķēt uz Eiropas organizācijām. Pagājušā gada septembrī mēs atklājām Korplug ielādētāju, ko i izmantoja kādā Šveicē enerģētikas un inženierzinātņu nozares organizācijā.
Uzbrukumus turpināja arī ar Irānu saistīti grupējumi - bez Izraēlas uzņēmumiem arī POLONIUM sāka vērsties pret Izraēlas uzņēmumu ārvalstu meitasuzņēmumiem, bet MuddyWater, iespējams, kompromitēja kādu pārvaldītu drošības pakalpojumu sniedzēju.
Ziemeļkorejai pietuvinātie grupējumi izmantoja vecus ekspluatantus, lai kompromitētu kriptovalūtas uzņēmumus un biržas dažādās pasaules daļās. Interesanti, ka Konni ir paplašinājis valodu repertuāru, ko izmanto savos viltus dokumentos, iekļaujot arī angļu valodu, kas nozīmē, ka, iespējams, tas nemērķējas uz saviem ierastajiem Krievijas un Dienvidkorejas mērķiem.
Lai iegūtu plašāku tehnisko informāciju, skatiet pilnu "ESET APT aktivitātes ziņojumu".