- Najnovšie vydanie ESET APT Activity Reportu mapuje aktivitu vybraných APT skupín od apríla do septembra 2023.
- Správa poukazuje na pretrvávajúce kampane skupín napojených na Čínu v EÚ a na vývoj ruskej kybernetickej vojny na Ukrajine od sabotáže k špionáži.
- Rôzne skupiny zneužívali zraniteľnosti v aplikácii WinRAR, serveroch Microsoft Exchange a serveroch IIS.
- Hlavným cieľom skupín napojených na Rusko zostala Ukrajina, cieľom zberu údajov boli používatelia služby Telegram.
- Spomedzi novoobjavených skupín napojených na Čínu - skupina DigitalRecyclers opakovane kompromitovala vládnu organizáciu v Európskej únii, TheWizards uskutočnila adversary-in-the-middle útoky a PerplexedGoblin sa zamerala na ďalšiu vládnu organizáciu v EÚ.
Spoločnosť ESET zverejnila svoju najnovšiu správu o aktivitách vybraných skupín pokročilých pretrvávajúcich hrozieb (APT), ktoré boli pozorované, skúmané a analyzované výskumníkmi spoločnosti ESET od apríla 2023 do konca septembra 2023. Výskumníci spoločnosti ESET zaznamenali zneužívanie známych zraniteľností rôznymi APT skupinami, ktoré sa snažili získať údaje od vládnych inštitúcií. Svoje zistenia predstavili výskumníci spoločnosti ESET počas konferencie Tech4Good v Aténach. Bližšie sa pritom pozreli na kampane skupín blízkych Číne v Európskej únii a na vývoj ruskej kybernetickej vojny v Ukrajine od sabotáže k špionáži.
Skupiny Sednit a Sandworm napojené na Rusko, Konni napojená na Severnú Kóreu, a geograficky nedefinované Winter Vivern a SturgeonPhisher zneužili zraniteľnosti vo WinRAR (Sednit, SturgeonPhisher a Konni), Roundcube (Sednit a Winter Vivern), Zimbra (Winter Vivern) a Outlook pre Windows (Sednit) na útok na rôzne vládne organizácie nielen na Ukrajine, ale aj v Európe a Strednej Ázii. Pokiaľ ide o útočníkov napojených na Čínu, skupina GALLIUM pravdepodobne využívala slabiny v serveroch Microsoft Exchange alebo IIS, čím rozšírila svoje zacielenie z telekomunikačných operátorov na vládne organizácie na celom svete. Hackeri z MirrorFace zas pravdepodobne zneužívali slabé miesta v službe online úložiska Proself a skupina TA410 pravdepodobne využila chyby v aplikačnom serveri Adobe ColdFusion.
Vo svojej činnosti vo veľkom pokračovali aj skupiny napojené na Irán a Blízky východ, pričom sa zameriavali najmä na špionáž a krádeže údajov z organizácií v Izraeli. Pozoruhodné je, že na Irán napojená skupina MuddyWater sa zamerala aj na neidentifikovaný subjekt v Saudskej Arábii, pričom nasadila malvér, ktorý naznačuje možnosť, že táto skupina slúži ako vývojový tím pre pokročilejšiu skupinu.
Hlavným cieľom skupín napojených na Rusko zostala Ukrajina. Výskumníci spoločnosti ESET tam objavili nové verzie známych wiperov RoarBat a NikoWiper a nový wiper, ktorý nazvali SharpNikoWiper, všetky nasadené skupinou Sandworm. Zaujímavé je, že zatiaľ čo iné skupiny - napríklad Gamaredon, GREF a SturgeonPhisher - sa zameriavajú na používateľov služby Telegram a snažia sa exfiltrovať informácie alebo aspoň niektoré metadáta súvisiace s Telegramom, Sandworm využíva túto službu na účely propagandy, pričom propaguje svoje operácie kybernetickej sabotáže. Najaktívnejšou skupinou na Ukrajine však naďalej zostávala skupina Gamaredon, ktorá výrazne rozšírila svoje schopnosti zhromažďovania údajov prepracovaním existujúcich nástrojov a nasadením nových.
Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na Japonsko, Južnú Kóreu a subjekty zamerané na Južnú Kóreu, pričom využívali starostlivo pripravené spearphishingové e-maily. Najaktívnejšou pozorovanou schémou skupiny Lazarus bola operácia DreamJob, ktorá lákala obete falošnými pracovnými ponukami na lukratívne pozície. Táto skupina neustále preukazovala svoju schopnosť vytvárať škodlivý softvér pre všetky hlavné počítačové platformy.
Napokon ESET odhalil činnosť troch predtým neidentifikovaných skupín napojených na Čínu: DigitalRecyclers, ktorá opakovane kompromituje vládnu organizáciu v EÚ, TheWizards, ktorá vykonáva útoky typu adversary-in-the-middle, a PerplexedGoblin, ktorá sa zameriava na ďalšiu vládnu organizáciu v EÚ.
ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke.
Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri (aktuálne X) ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.