Ifølge rapporten fra ESET-forskere fortsatte APT-grupper med tilknytning til Rusland med at deltage i operationer specifikt rettet mod Ukraine ved at bruge destruktive dataviskere og løsepenge i denne periode. Goblin Panda, en kinesisk-tilknyttet gruppe, begyndte at kopiere Mustang Pandas interesse i europæiske lande. Iran-relaterede grupper opererer også på et højt niveau. Sammen med Sandworm, andre russiske APT-grupper såsom Callisto, fortsatte Gamaredon deres phishing-angreb rettet mod østeuropæiske borgere.
Højdepunkterne i ESET APT-aktivitetsrapporten er som følger:
ESET har opdaget, at den berygtede Sandworm-gruppe i Ukraine bruger hidtil ukendt dataviskersoftware mod et energiselskab. Operationer af APT-grupper udføres normalt af stats- eller statssponsorerede deltagere. Angrebet kom samtidig med, at de russiske væbnede styrker i oktober iværksatte missilangreb rettet mod energiinfrastruktur. Selvom ESET ikke kan bevise koordineringen mellem disse angreb, forestiller det sig, at Sandworm og det russiske militær har samme mål.
ESET har udnævnt NikoWiper til den seneste i rækken af dataviskersoftware, som tidligere er blevet opdaget. Denne software blev brugt mod en virksomhed, der opererer i energisektoren i Ukraine i oktober 2022. NikoWiper er baseret på SDelete, et kommandolinjeværktøj, som Microsoft bruger til at slette filer sikkert. Ud over datasletning af malware opdagede ESET Sandworm-angreb, der bruger ransomware som en wiper. Selvom ransomware bruges i disse angreb, er hovedformålet at ødelægge data. I modsætning til almindelige ransomware-angreb giver Sandworm-operatører ikke en dekrypteringsnøgle.
I oktober 2022 blev Prestige ransomware opdaget af ESET som brugt mod logistikvirksomheder i Ukraine og Polen. I november 2022 blev en ny ransomware skrevet i .NET opdaget i Ukraine kaldet RansomBoggs. ESET Research offentliggjorde denne kampagne på sin Twitter-konto. Sammen med Sandworm fortsatte andre russiske APT-grupper som Callisto og Gamaredon deres ukrainske målrettede phishing-angreb for at stjæle legitimationsoplysninger og implantere implantater.
ESET-forskere opdagede også et MirrorFace-phishing-angreb rettet mod politikere i Japan og bemærkede et faseskift i målretningen af nogle Kina-tilknyttede grupper – Goblin Panda er begyndt at kopiere Mustang Pandas interesse i europæiske lande. I november opdagede ESET en ny Goblin Panda-bagdør, som den kalder TurboSlate hos et regeringsorgan i EU. Mustang Panda fortsatte også med at målrette mod europæiske organisationer. I september blev en Korplug-læsser, der blev brugt af Mustang Panda, identificeret hos en virksomhed i schweizisk energi- og ingeniørsektor.
Iran-forbundne grupper fortsatte deres angreb - POLONIUM begyndte at målrette israelske virksomheder såvel som deres udenlandske datterselskaber, og MuddyWater infiltrerede sandsynligvis en aktiv sikkerhedstjenesteudbyder.
Nordkorea-tilknyttede grupper har brugt gamle sikkerhedssårbarheder til at infiltrere cryptocurrency-virksomheder og -børser rundt om i verden. Interessant nok udvidede Konni de sprog, han brugte i sine fældedokumenter, og tilføjede engelsk til sin liste; hvilket kan betyde, at det ikke fokuserer på sine sædvanlige russiske og sydkoreanske mål.
Vær den første til at kommentere