Con il suo nuovo APT - Advanced Persistent Threat - Activity Report, ESET fornisce una panoramica regolare delle attività dei gruppi di hacker ed esamina le loro azioni in dettaglio. Gruppi provenienti da Russia, Corea del Nord, Iran e Cina sono molto attivi.
Gli hacker legati alla Russia come Sandworm, Gamaredon, Turla o InvisiMole continuano ad avere l'Ucraina come obiettivo principale. Le compagnie aerospaziali e della difesa sono popolari tra gli attori legati alla Corea del Nord. I gruppi iraniani concentrano le loro attività su Israele. Un'azienda alimentare tedesca è stata anche nel mirino di un gruppo APT legato alla Cina. Nel complesso, i ricercatori ESET non sono riusciti a rilevare alcuna diminuzione dell'attività tra i vari gruppi di hacker. L'attuale rapporto copre il periodo da maggio ad agosto 2022.
Industria, segreti, ricatti
"Le industrie aerospaziale e della difesa rimangono di grande interesse per i gruppi alleati della Corea del Nord. Ad esempio, Lazarus ha preso di mira un dipendente di un'azienda aerospaziale nei Paesi Bassi. Secondo la nostra ricerca, il gruppo ha sfruttato una vulnerabilità in un driver Dell legittimo per infiltrarsi nell'azienda. Riteniamo che questo sia il primo exploit registrato di questa vulnerabilità in natura", ha affermato Jan-Ian Boutin, direttore di ESET Threat Research. “Abbiamo anche scoperto che diversi gruppi alleati con la Russia hanno abusato del servizio di messaggistica di Telegram per accedere ai server di comando e controllo o per far trapelare informazioni sensibili. Anche gli attori APT di altre regioni hanno cercato di ottenere l'accesso alle organizzazioni ucraine, sia per spionaggio informatico che per furto di proprietà intellettuale", continua Boutin.
Criptovalute: un altro campo di attività per i gruppi APT
Le istituzioni finanziarie e le società che lavorano con le criptovalute sono state l'obiettivo di Kimsuky della Corea del Nord e di due campagne del gruppo Lazarus. Una di queste azioni, soprannominata Operazione In(ter)ception dai ricercatori ESET, ha deviato dai loro obiettivi abituali nei settori aerospaziale e della difesa. Una singola persona argentina è stata attaccata con malware camuffato da offerta di lavoro presso Coinbase. ESET ha anche scoperto che il gruppo Konni utilizza una tecnica utilizzata da Lazarus in passato: una versione trojanizzata del Sumatra PDF Viewer.
I gruppi cinesi usano spesso backdoor
I gruppi con sede in Cina hanno continuato ad essere molto attivi. Hanno sfruttato varie vulnerabilità e backdoor precedentemente non segnalate. È così che ESET ha identificato la variante Linux di una backdoor utilizzata da SparklingGoblin contro un'università di Hong Kong. In un altro caso, lo stesso gruppo ha utilizzato una vulnerabilità di Confluence per attaccare un'azienda di trasformazione alimentare in Germania e una società di ingegneria negli Stati Uniti. ESET Research sospetta inoltre che una vulnerabilità di ManageEngine ADSelfService Plus sia alla base della compromissione di una società di difesa statunitense. I suoi sistemi sono stati attaccati solo due giorni dopo la pubblicazione della vulnerabilità. In Giappone, ESET ha identificato diverse campagne del gruppo Mirrorface, una delle quali era direttamente correlata alle elezioni per la camera alta del parlamento.
I gruppi iraniani hanno messo a fuoco Israele
Il numero crescente di gruppi legati all'Iran ha continuato a concentrare i propri sforzi principalmente su varie industrie israeliane. I ricercatori ESET sono stati in grado di attribuire a POLONIUM un'azione mirata a una dozzina di organizzazioni e hanno identificato diverse backdoor precedentemente non documentate. Agrius ha preso di mira società ed entità coinvolte o associate all'industria dei diamanti in Sudafrica, Hong Kong e Israele.
Gli esperti ESET ritengono che si tratti di un attacco alla catena di approvvigionamento, che abusa del software basato su Israele utilizzato in quest'area. Un'altra campagna in Israele ha trovato prove di una possibile sovrapposizione nell'uso degli strumenti tra i gruppi MuddyWater e APT35. ESET Research ha anche rilevato una nuova versione del malware Android in una campagna condotta dal gruppo APT-C-50. È stato distribuito da un sito Web iraniano imitatore e aveva capacità di spionaggio limitate.
Tramite il rapporto attività ESET APT
A complemento dell'ESET Threat Report, ESET Research pubblica l'ESET APT Activity Report, che mira a fornire una panoramica periodica degli approfondimenti di ESET sull'attività di Advanced Persistent Threats (APT). La prima edizione copre il periodo da maggio ad agosto 2022. Si prevede che il rapporto venga pubblicato immediatamente insieme al Rapporto sulle minacce ESET.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.