ESET-onderzoekers: Russische APT-groepen, zoals Sandworm, blijven wipers en ransomware inzetten tegen Oekraïne

Next story
  • ESET heeft haar nieuwste APT Activity Report over de periode van september tot eind december 2022 (T3 2022) gepubliceerd.
  • Aan Rusland gelieerde APT-groepen bleven in het bijzonder betrokken bij operaties gericht op Oekraïne
  • Hierbij werden destructieve wipers zoals de nieuw ontdekte NikoWiper ingezet.
  • Op 25 januari ontdekten ESET-onderzoekers nog een nieuwe wiper gericht op Oekraïne, genaamd SwiftSlicer. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. De wiper word toegeschreven aan Sandworm.
  • Sandworm lanceerde de wipers parallel aan raketaanvallen van het Russische leger op de energie-infrastructuur. Hoewel ESET niet kan aantonen dat deze gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en de Russische strijdkrachten vergelijkbare doelstellingen hebben.
  • Ook vielen Russische APT-groepen Oekraïne aan met ransomware (Prestige, RansomBoggs).
  • Samen met Sandworm zetten daarnaast andere Russische APT-groepen zoals Callisto en Gamaredon hun spearphishing-campagnes tegen het Oost-Europese land voort.

Sliedrecht, 31 januari 2023 – ESET Research heeft vandaag haar nieuwste APT Activity Report gepubliceerd. Het rapport geeft een update over de aanvallen van APT-groepen op Oekraïne en geeft een overzicht van alle waarnemingen, onderzoeken en analyses van ESET-onderzoekers tussen september en eind december 2022. Gedurende deze periode bleven aan Rusland gelieerde APT-groepen bijzonder betrokken bij operaties gericht op Oekraïne door de inzet van destructieve wipers en ransomware. Daarnaast begon Goblin Panda, een aan China gelieerde groep, de belangstelling van Mustang Panda voor Europese landen te kopiëren en bleven ook de aan Iran gelieerde groepen actief.

Nieuwe wipers ingezet in de oorlog in Oekraïne

ESET-onderzoekers ontdekten in Oekraïne meerdere nieuwe wipers die in werden gezet door APT-groep Sandworm. Eén daarvan was NikoWiper. Deze wiper werd in oktober 2022 gebruikt tegen een bedrijf in de energiesector in Oekraïne. NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma van Microsoft dat wordt gebruikt voor het veilig wissen van bestanden. Statelijke, of door de staat gesponsorde, actoren besturen gewoonlijk APT-groepen; de beschreven aanval vond plaats in oktober tijdens dezelfde periode waarin Russische strijdkrachten begonnen met raketaanvallen op energie-infrastructuur. Hoewel ESET niet kan aantonen dat die gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en het Russische leger verwante doelstellingen hebben.

Vorige week ontdekten ESET-onderzoekers nogmaals een nieuwe wiper gericht op Oekraïne, genaamd SwiftSlicer. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. Deze wiper wordt net als NikoWiper, toegeschreven aan Sandworm.

Ransomware en andere activiteiten met betrekking tot de oorlog in Oekraïne

Naast malware die gegevens wist, ontdekte ESET ook Sandworm-aanvallen waarbij ransomware als wiper werd gebruikt. Bij deze aanvallen werd weliswaar ransomware gebruikt, maar het einddoel was hetzelfde als bij de wipers: gegevensvernietiging. In tegenstelling tot traditionele ransomware-aanvallen zijn de Sandworm-operators niet van plan een decryptiesleutel te verstrekken.

In oktober 2022 ontdekte ESET dat Prestige ransomware werd ingezet tegen logistieke bedrijven in Oekraïne en Polen. En in november 2022 ontdekte ESET nieuwe ransomware in Oekraïne geschreven in .NET die we RansomBoggs noemden. ESET Research meldde deze campagne publiekelijk op haar Twitter account. Naast Sandworm hebben ook andere Russische APT-groepen zoals Callisto en Gamaredon hun activiteiten in de oorlog in Oekraïne voortgezet. Zo zetten Callisto en Gamaradon bijvoorbeeld spearphishingcampagnes in om inloggegevens te stelen en systemen te infiltreren.

Overige APT-activiteiten Naast de activiteiten die betrekking hebben tot de oorlog in Oekraïne geeft het APT-report van ESET ook inzicht in het bredere dreigingslandschap waarbij specifiek wordt gekeken naar groeperingen gelieerd aan China, Iran & Noord-Korea.

Zo ontdekten ESET-onderzoekers een spearphishingcampagne van MirrorFace gericht op politieke entiteiten in Japan; ontdekte ESET afgelopen november een nieuwe backdoor van Goblin Panda, die we TurboSlate noemden, bij een overheidsorganisatie in de Europese Unie; en blijft ook Mustang Panda zich richten op Europese organisaties. Zo werd afgelopen september een Korplug loader ontdekt, die door Mustang Panda gebruikt werd bij een organisatie in de Zwitserse energie en engineering sector.

Ook aan Iran gelieerde groepen zetten hun aanvallen voort. Naast Israëlische bedrijven begon POLONIUM ook buitenlandse dochterondernemingen van Israëlische bedrijven aan te vallen en MuddyWater heeft waarschijnlijk een managed security service provider gecompromitteerd.

Groepen die gelieerd zijn aan Noord-Korea gebruikten oude exploits om cryptocurrency bedrijven en exchanges in verschillende delen van de wereld te compromitteren. Interessant is dat Konni het repertoire van talen die het gebruikt in zijn lokdocumenten heeft uitgebreid met het Engels, wat betekent dat het zich misschien niet richt op zijn gebruikelijke Russische en Zuid-Koreaanse doelen.

Voor meer technische informatie, bekijk het volledige ESET APT Activity Report op WeLiveSecurity, en volg ESET Research op Twitter voor het laatste nieuws.

 

Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedInFacebook, Instagram en Twitter.