I følge rapporten fra ESET-forskere fortsatte APT-grupper knyttet til Russland å delta i operasjoner spesifikt rettet mot Ukraina, ved å bruke destruktive dataviskere og løsepengevare i denne perioden. Goblin Panda, en kinesisk tilknyttet gruppe, begynte å kopiere Mustang Pandas interesse for europeiske land. Iran-tilknyttede grupper opererer også på høyt nivå. Sammen med Sandworm, andre russiske APT-grupper som Callisto, fortsatte Gamaredon sine phishing-angrep rettet mot østeuropeiske borgere.
Høydepunktene i ESET APT-aktivitetsrapporten er som følger:
ESET har oppdaget at den beryktede Sandworm-gruppen i Ukraina bruker tidligere ukjent datasviskerprogramvare mot et energiselskap. Operasjoner av APT-grupper utføres vanligvis av statlige eller statsstøttede deltakere. Angrepet kom samtidig som de russiske væpnede styrkene startet rakettangrep rettet mot energiinfrastruktur i oktober. Mens ESET ikke kan bevise koordineringen mellom disse angrepene, ser det for seg at Sandworm og det russiske militæret har samme mål.
ESET har kåret NikoWiper til den siste i en serie dataviskerprogramvare som tidligere er oppdaget. Denne programvaren ble brukt mot et selskap som opererer i energisektoren i Ukraina i oktober 2022. NikoWiper er basert på SDelete, et kommandolinjeverktøy som Microsoft bruker for å slette filer på en sikker måte. I tillegg til å slette skadelig programvare, oppdaget ESET Sandworm-angrep som bruker løsepengeprogramvare som en visker. Selv om løsepengevare brukes i disse angrepene, er hovedformålet å ødelegge data. I motsetning til vanlige løsepenge-angrep, gir ikke Sandworm-operatører en dekrypteringsnøkkel.
I oktober 2022 ble Prestige-ransomware oppdaget av ESET som brukt mot logistikkselskaper i Ukraina og Polen. I november 2022 ble en ny løsepengevare skrevet i .NET kalt RansomBoggs oppdaget i Ukraina. ESET Research offentliggjorde denne kampanjen på sin Twitter-konto. Sammen med Sandworm fortsatte andre russiske APT-grupper som Callisto og Gamaredon sine ukrainske målrettede phishing-angrep for å stjele legitimasjon og implantere implantater.
ESET-forskere oppdaget også et MirrorFace-phishing-angrep rettet mot politikere i Japan, og la merke til et faseskifte i målrettingen av noen Kina-tilknyttede grupper – Goblin Panda har begynt å kopiere Mustang Pandas interesse i europeiske land. I november oppdaget ESET en ny Goblin Panda-bakdør den kaller TurboSlate hos et offentlig byrå i EU. Mustang Panda fortsatte også å målrette mot europeiske organisasjoner. I september ble en Korplug-laster brukt av Mustang Panda identifisert ved en bedrift i Sveits energi- og ingeniørsektor.
Iran-tilknyttede grupper fortsatte også sine angrep – POLONIUM begynte å målrette israelske selskaper så vel som deres utenlandske datterselskaper, og MuddyWater infiltrerte sannsynligvis en aktiv sikkerhetstjenesteleverandør.
Nord-Korea-tilknyttede grupper har brukt gamle sikkerhetssårbarheter for å infiltrere kryptovalutaselskaper og børser rundt om i verden. Interessant nok utvidet Konni språkene han brukte i felledokumentene sine, og la engelsk til listen hans; noe som kan bety at det ikke fokuserer på sine vanlige russiske og sørkoreanske mål.
Vær den første til å kommentere