ESET APT Activity Report: Skupiny napojené na Čínu rozširujú svoje útoky na EÚ, Irán pokračuje v diplomatickej špionáži

  • Najnovšia správa APT Activity Report od spoločnosti ESET sumarizuje významné aktivity hackerských skupín, ktoré boli zdokumentované výskumníkmi spoločnosti ESET od apríla 2024 do konca septembra 2024.
  • Na Čínu napojená skupina MirrorFace sa po prvýkrát zamerala na diplomatickú organizáciu v rámci EÚ.
  • Výskumníci tiež zaznamenali náznaky, že skupiny napojené na Irán využívajú svoje kybernetické schopnosti na podporu svojich diplomatických špionážnych snáh.
  • ESET analyzoval aj hackerský útok na Poľskú antidopingovú agentúru, ktorá bola pravdepodobne kompromitovaná pôvodným sprostredkovateľom prístupu, ktorý následne zdieľal prístup s APT skupinou FrostyNeighbor, ktorá je napojená na Bielorusko.
  • V Ázii ESET zaznamenal pokračovanie kampaní zameraných predovšetkým na vládne organizácie so zvýšeným dôrazom na sektor vzdelávania, najmä na výskumníkov a akademikov.
     

Spoločnosť ESET vydala najnovšiu správu APT Activity Report, ktorá analyzuje aktivity vybraných skupín pokročilých pretrvávajúcich hrozieb (Advanced Persistent Threat – APT) zadokumentované výskumníkmi spoločnosti ESET od apríla 2024 do konca septembra 2024. ESET zaznamenal výrazné rozšírenie cielenia zo strany skupiny MirrorFace, ktorá je napojená na Čínu. Zvyčajne sa zameriavala na japonské subjekty, po prvýkrát rozšírila svoje operácie o diplomatickú organizáciu v Európskej únii, pričom naďalej uprednostňovala japonské ciele. Okrem toho sa APT skupiny napojené na Čínu čoraz viac spoliehajú na open-source a multiplatformné riešenie SoftEther VPN, aby si udržali prístup do sietí obetí. Výskumníci tiež zaznamenali náznaky, že skupiny napojené na Irán by mohli využívať svoje kybernetické schopnosti na podporu diplomatickej špionáže a potenciálne aj kinetických operácií.

„Pokiaľ ide o hrozby, ktoré sú napojené na Čínu, zistili sme rozsiahle využívanie SoftEther VPN skupinou Flax Typhoon, zaznamenali sme, že skupina Webworm prešla zo svojho plnohodnotného backdooru na používanie SoftEther VPN Bridge na počítačoch patriacich vládnym organizáciám v EÚ a zaznamenali sme, že skupina GALLIUM nasadzuje SoftEther VPN servery u telekomunikačných operátorov v Afrike,“ hovorí riaditeľ výskumu hrozieb v spoločnosti ESET Jean-Ian Boutin. „Prvýkrát sme zaznamenali, že skupina MirrorFace sa zameriava na diplomatickú organizáciu v rámci EÚ, teda v regióne, ktorý zostáva stredobodom záujmu viacerých aktérov hrozieb napojených na Čínu, Severnú Kóreu a Rusko. Mnohé z týchto skupín sa zameriavajú najmä na vládne subjekty a sektor obrany,“ dodáva.

Na druhej strane, skupiny napojené na Irán kompromitovali niekoľko firiem poskytujúcich finančné služby v Afrike – na kontinente, ktorý je pre Irán geopoliticky dôležitý, uskutočnili kybernetickú špionáž proti Iraku a Azerbajdžanu, susedným krajinám, s ktorými má Irán zložité vzťahy, a zvýšili svoje operácie v sektore dopravy v Izraeli. Napriek tomuto zdanlivo úzkemu geografickému cieleniu si skupiny napojené na Irán zachovali globálne zameranie a ďalej sledovali diplomatických vyslancov vo Francúzsku či vzdelávacie organizácie v Spojených štátoch.

Útočníci napojení na Severnú Kóreu pokračovali v honbe za ukradnutými finančnými prostriedkami – tradičnými menami aj kryptomenami. Zaznamenali sme, že tieto skupiny pokračovali v útokoch na obranné a letecké spoločnosti v Európe a USA, ako aj v útokoch na vývojárov kryptomien, think-tanky a mimovládne organizácie. Jedna z takýchto skupín, Kimsuky, začala zneužívať súbory Microsoft Management Console, ktoré zvyčajne používajú správcovia systému, ale môžu vykonávať akýkoľvek príkaz systému Windows. Okrem toho niekoľko skupín napojených na Severnú Kóreu často zneužívalo populárne cloudové služby.

A napokon, výskumníci spoločnosti ESET zistili, že kybernetické špionážne skupiny napojené na Rusko sa často zameriavajú na webmailové servery ako Roundcube a Zimbra, zvyčajne pomocou spearphishingových e-mailov, ktoré spúšťajú známe zraniteľnosti XSS. Okrem skupiny Sednita, ktorá sa zameriava na vládne, akademické a obranné subjekty po celom svete, ESET identifikoval ďalšiu skupinu napojenú na Rusko, GreenCube, ktorá kradne e-mailové správy prostredníctvom XSS zraniteľností v Roundcube. Ďalšie skupiny napojené na Rusko sa naďalej zameriavali na Ukrajinu, pričom Gamaredon nasadil rozsiahle spearphishingové kampane a zároveň prepracoval svoje nástroje s využitím a zneužitím aplikácií na zasielanie správ Telegram a Signal. Okrem toho Sandworm využíval svoj nový backdoor pre systém Windows s názvom WrongSens. ESET analyzoval aj verejný hackerský únik dát z Poľskej antidopingovej agentúry, ktorý bol pravdepodobne kompromitovaný pôvodným sprostredkovateľom prístupu, ktorý následne zdieľal prístup s APT skupinou FrostyNeighbor, ktorá je napojená na Bielorusko a stojí za kybernetickými dezinformačnými kampaňami kritickými voči NATO.

V Ázii spoločnosť ESET zaznamenala, že kampane sa naďalej zameriavali najmä na vládne organizácie. Výskum však zaznamenal aj zvýšený dôraz na sektor vzdelávania, najmä na výskumníkov a akademikov zameraných na Kórejský polostrov a juhovýchodnú Áziu. Tento posun bol spôsobený útočníkmi, ktorí konajú v súlade so záujmami Číny a Severnej Kórey. Lazarus, jedna zo skupín napojených na Severnú Kóreu, naďalej útočila na subjekty vo finančnom a technologickom sektore po celom svete. Na Blízkom východe pokračovalo niekoľko APT skupín napojených na Irán v útokoch na vládne organizácie, pričom najviac postihnutou krajinou bol Izrael.

Za posledné dve desaťročia sa Afrika stala pre Čínu významným geopolitickým partnerom a sme svedkami toho, ako skupiny, ktoré sa hlásia k Číne, rozširujú svoje aktivity na tomto kontinente. Na Ukrajine boli skupiny napojené na Rusko naďalej najaktívnejšie, pričom výrazne ovplyvňovali vládne subjekty, sektor obrany a základné služby, ako sú dodávky energie, vody a tepla.

Spomenuté operácie sú reprezentatívne pre širšie spektrum hrozieb, ktoré spoločnosť ESET v tomto období skúmala. Produkty spoločnosti ESET chránia systémy našich zákazníkov pred škodlivými aktivitami opísanými v tejto správe. Informácie o hrozbách, ktoré sú tu zdieľané, vychádzajú prevažne z vlastných telemetrických údajov spoločnosti ESET. Tieto analýzy hrozieb, známe ako ESET APT Reports PREMIUM, pomáhajú organizáciám, ktorých úlohou je chrániť občanov, kritickú národnú infraštruktúru a vysokohodnotné aktíva pred kybernetickými útokmi riadenými zločincami a národnými štátmi. Viac informácií o ESET APT Reports PREMIUM a jeho poskytovaní vysokokvalitných, strategických, akčných a taktických informácií o kybernetických hrozbách je k dispozícii na stránke ESET Threat Intelligence.

Celý ESET APT Activity Report si môžete prečítať na tomto odkaze. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research

 

O spoločnosti ESET

ESET® poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedInFacebook a X.