Компания ESET ― лидер в области информационной безопасности ― подготовила обзор активности APT-групп с апреля до конца сентября 2023 года. В частности, за эти 6 месяцев главной целью российских групп киберпреступников оставалась Украина, а их кибератаки эволюционировали от диверсий к шпионажу. Злоумышленники часто нацеливались на государственные учреждения, медиа и другие организации. Для атак киберпреступники активно использовали уязвимости в популярных программах и фишинговые письма.
В частности, такие российские группы, как Gamaredon, GREF и SturgeonPhisher, нацеливались на пользователей Telegram с целью похищения информации или связанных метаданных. В то время как Sandworm, еще одна группа из россии, также активно использовала этот мессенджер для рекламы своих действий киберсаботажа. Кроме того, группа распространяла новые версии уже известных угроз и новые программы для уничтожения данных, нацеленные на государственные учреждения, частные компании и медиаорганизацию в Украине.
Однако наиболее активной группой в Украине продолжала оставаться Gamaredon, значительно расширившая свои возможности похищения данных путем совершенствования существующих инструментов и внедрения новых. В частности, специалисты ESET обнаружили ряд инструментов, которые могут похищать информацию с Signal, Telegram, WhatsApp, учетные данные Outlook и The Bat!, а также cookie-файлы из популярных браузеров.
Кроме этого, связанная с россией Sednit и Sandworm, с Северной Кореей ― Konni и другие две группы ― Winter Vivern и SturgeonPhisher использовали уязвимости в архиваторе WinRAR, сервисах электронной почты Roundcube, Zimbra и Outlook для Windows, чтобы атаковать разные государственные организации не только в Украине, но и в Европе и Центральной Азии. Другая группа, связанная с Китаем, использовала уязвимости в серверах Microsoft Exchange или серверах IIS, атакуя разные цели ― от телекоммуникационных операторов до правительственных организаций во всем мире.
При этом группы, связанные с Китаем, были наиболее активны в странах Европейского Союза, а киберпреступники из Ирана и Ближнего Востока в основном сосредотачивались на шпионаже и краже данных у организаций в Израиле. В то время как группы из Северной Кореи продолжали нацеливаться на Японию и Южную Корею, используя тщательно разработанные фишинговые электронные письма. Распространенной схемой было заманивание целей ложными предложениями работы на прибыльные должности.
Также исследователи ESET обнаружили деятельность трех ранее неизвестных групп, связанных с Китаем: DigitalRecyclers и PerplexedGoblin атаковали две разные организации в ЕС, а TheWizards проводила MITM-атаки.
Стоит отметить, что APT-группы – это группировки высококвалифицированных хакеров, деятельность которых часто спонсируется определенным государством. Их целью является получение конфиденциальных данных правительственных учреждений, высокопоставленных лиц или стратегических компаний и избежание обнаружения. Такие группы киберпреступников имеют большой опыт и используют сложные вредоносные инструменты и ранее неизвестные уязвимости.
Почему данные об APT-угрозах важны?
Атаки APT-групп достаточно изощрены и опасны, поэтому важно обеспечить максимальную защиту благодаря комплексному подходу к безопасности. В частности, компаниям следует позаботиться о мощной защите устройств с помощью расширенного обнаружения и реагирования на угрозы, расширенного анализа в облаке и шифрования данных, а также понимать возможные векторы атак и особенности деятельности определенных групп, которые доступны именно в отчетах об APT-угрозах.
Исследователи ESET готовят подробную техническую информацию, постоянно обновляя данные о деятельности определенных APT-групп в форме расширенных отчетов, чтобы помочь соответствующим организациям защищать пользователей, критическую инфраструктуру и другие важные активы от целенаправленных кибератак. Больше информации о расширенных APT-отчетах, которые предоставляются в рамках сервиса ESET Threat Intelligence, можно найти по ссылке.
Подробнее о деятельности APT-групп читайте в полном отчете ESET.