Com seu novo APT - Advanced Persistent Threat - Activity Report, a ESET fornece uma visão geral regular das atividades de grupos de hackers e examina suas ações em detalhes. Grupos da Rússia, Coréia do Norte, Irã e China são altamente ativos.
Hackers ligados à Rússia, como Sandworm, Gamaredon, Turla ou InvisiMole, continuam tendo a Ucrânia como seu alvo principal. As empresas aeroespaciais e de defesa são populares entre os atores ligados à Coreia do Norte. Grupos iranianos concentram suas atividades em Israel. Uma empresa alemã de alimentos também foi alvo de um grupo APT ligado à China. No geral, os pesquisadores da ESET não conseguiram detectar nenhuma diminuição na atividade entre os vários grupos de hackers. O presente relatório abrange o período de maio a agosto de 2022.
Indústria, Segredos, Chantagem
"As indústrias aeroespacial e de defesa continuam sendo de grande interesse para grupos aliados da Coreia do Norte. Por exemplo, Lazarus tinha como alvo um funcionário de uma empresa aeroespacial na Holanda. De acordo com nossa pesquisa, o grupo explorou uma vulnerabilidade em um driver legítimo da Dell para se infiltrar na empresa. Acreditamos que esta é a primeira exploração registrada desta vulnerabilidade na natureza", disse Jan-Ian Boutin, diretor da ESET Threat Research. “Também descobrimos que vários grupos aliados à Rússia abusaram do serviço de mensagens Telegram para acessar servidores de comando e controle ou vazar informações confidenciais. Atores da APT de outras regiões também tentaram obter acesso a organizações ucranianas, tanto para ciberespionagem quanto para roubo de propriedade intelectual”, continua Boutin.
Criptomoedas: outro campo de atuação para grupos APT
Instituições financeiras e empresas que trabalham com criptomoedas foram alvo da Kimsuky da Coreia do Norte e de duas campanhas do Grupo Lazarus. Uma dessas ações, apelidada de Operação In(ter)ception pelos pesquisadores da ESET, desviou-se de seus objetivos habituais nas indústrias aeroespacial e de defesa. Uma única pessoa da Argentina foi atacada com malware disfarçado de oferta de emprego na Coinbase. A ESET também descobriu que o grupo Konni usa uma técnica usada por Lazarus no passado - uma versão trojanizada do Sumatra PDF Viewer.
Grupos da China costumam usar backdoors
Os grupos baseados na China continuaram muito ativos. Eles exploraram várias vulnerabilidades e backdoors não relatados anteriormente. Foi assim que a ESET identificou a variante Linux de um backdoor usado pelo SparklingGoblin contra uma universidade de Hong Kong. Em outro caso, o mesmo grupo usou uma vulnerabilidade do Confluence para atacar uma empresa de processamento de alimentos na Alemanha e uma empresa de engenharia nos Estados Unidos. A ESET Research também suspeita que uma vulnerabilidade do ManageEngine ADSelfService Plus esteja por trás do comprometimento de um fornecedor de defesa dos EUA. Seus sistemas foram atacados apenas dois dias após a publicação da vulnerabilidade. No Japão, a ESET identificou várias campanhas do grupo Mirrorface, uma das quais diretamente relacionada às eleições para a câmara alta do parlamento.
Grupos iranianos têm Israel em foco
O número crescente de grupos ligados ao Irã continuou a concentrar seus esforços principalmente em várias indústrias israelenses. Os pesquisadores da ESET foram capazes de atribuir uma ação visando uma dúzia de organizações ao POLONIUM e identificaram vários backdoors não documentados anteriormente. A Agrius visou empresas e entidades envolvidas ou associadas à indústria de diamantes na África do Sul, Hong Kong e Israel.
Os especialistas da ESET acreditam que este é um ataque à cadeia de suprimentos, abusando do software baseado em Israel usado nesta área. Outra campanha em Israel encontrou evidências de uma possível sobreposição no uso de ferramentas entre os grupos MuddyWater e APT35. A ESET Research também detectou uma nova versão do malware Android em uma campanha realizada pelo grupo APT-C-50. Foi distribuído por um site iraniano imitador e tinha recursos de espionagem limitados.
Por meio do Relatório de atividades do ESET APT
Complementar ao Relatório de Ameaças da ESET, a ESET Research publica o Relatório de Atividade APT da ESET, que visa fornecer uma visão geral regular das percepções da ESET sobre as atividades de Ameaças Persistentes Avançadas (APT). A primeira edição cobre o período de maio a agosto de 2022. Está planejado que o relatório seja publicado imediatamente junto com o Relatório de Ameaças da ESET.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.