Європейський виробник ІТ-безпеки ESET опублікував свій поточний «APT Activity Report T3 2022». Фокус: Китайські хакерські групи активні в Європі, а російські хакерські угруповання продовжують атакувати Україну.
У цих звітах регулярно підсумовуються результати розслідувань щодо окремих груп із загрозою розвитку стійкої загрози (APT). В останньому номері, який охоплює період з вересня по грудень 2022 року, експерти ESET представляють свої останні ідеї щодо різноманітних глобальних хакерських кампаній. Групи, пов'язані з Китаєм, перенесли свою діяльність на країни Європи. Російські хакери, такі як Sandworm, Callisto та Gamaredon, продовжують атакувати Україну. Крім того, групи, пов'язані з Іраном і Північною Кореєю, продовжують діяти у великих масштабах.
Китайські загрози роблять Європу небезпечною
«Країни Європи стають все більш цікавими для китайських APT-груп. Традиційно хакерські групи, пов’язані з Китаєм, такі як Goblin Panda та Mustang Panda, зосереджувалися більше на Південно-Східній Азії», – пояснює Ян-Іан Бутін, директор ESET Threat Research. «Але в листопаді минулого року дослідники ESET знайшли новий бекдор під назвою TurboSlate в урядовій організації в Європейському Союзі. Зловмисне програмне забезпечення було відстежено до Goblin Panda, яка, схоже, копіює операції групи APT Mustang Panda. Останні відкрили для себе європейські напрямки на початку 2022 року. «Група кібершпигунства відома тим, що нападає на державні установи, корпорації та дослідницькі інститути. У вересні минулого року експерти ESET виявили завантажувач Korplug, який використовувався хакерами в компанії швейцарської енергетичної та технологічної галузі», — продовжив Бутін.
Кібервійна в Україні триває
Сумнозвісне угруповання Sandworm також дуже активно і продовжує свою діяльність проти України. Дослідники ESET натрапили на раніше невідомий склоочисник, який був використаний проти компанії енергетичного сектора в цій східноєвропейській країні в жовтні 2022 року. Описана атака сталася в той час, коли російські війська почали завдавати ракетних ударів по енергетичній інфраструктурі. Хоча ESET не може довести, що ці події були скоординовані, це свідчить про те, що Sandworm і російські військові мають схожі цілі.
Компанія ESET назвала останній склоочисник, який походить із лінійки раніше виявлених склоочисників, NikoWiper. Зловмисне програмне забезпечення засноване на SDelete, інструменті командного рядка Microsoft, який використовується для безпечного видалення файлів. Окрім зловмисного програмного забезпечення, яке стирає дані, дослідники ESET також виявили атаки Sandworm із використанням програм-вимагачів як очисників. Програмне забезпечення для шифрування мало ту ж мету, що й склоочисник, а саме знищення даних. Це в основному свідчить про те, що надання ключа дешифрування ніколи не планувалося.
Піщаник, Каллісто, Гамаредон
Окрім Sandworm, інші російські групи APT, такі як Callisto та Gamaredon, продовжували кампанії проти України з метою викрадення облікових даних та встановлення шкідливого програмного забезпечення. У жовтні 2022 року ESET виявила програму-вимагач Prestige, яку використовували проти логістичних компаній в Україні та Польщі. Через місяць дослідники ESET в Україні знайшли нове програмне забезпечення для шифрування, написане на .NET, яке вони назвали RansomBoggs. ESET Research опублікувала результати свого розслідування цієї кампанії в однойменному акаунті Twitter.
Іран і Північна Корея продовжують діяти у великих масштабах
Групи, пов’язані з Іраном, також продовжують свої атаки – окрім ізраїльських компаній, POLONIUM також націлився на іноземні дочірні компанії ізраїльських компаній. Іранську групу APT MuddyWater також підозрюють у скомпрометації постачальника керованих послуг безпеки.
Афілійована з Північною Кореєю хакерська група Konni використовувала старі вразливості, щоб зламати криптовалютні фірми та біржі в різних частинах світу. Дослідники ESET виявили, що зловмисники додали англійську мову до репертуару мов, які він використовує у своїх документах, що шахраюють. Це свідчить про те, що вони більше не обмежують свій радіус дій лише звичайними російськими та південнокорейськими цілями.
Передумови для звіту про діяльність APT
На додаток до звіту про загрози ESET, ESET Research публікує звіт про діяльність ESET APT, який містить регулярний огляд результатів досліджень щодо діяльності Advanced Persistent Threas (APT). Перше видання охоплює період з травня по серпень 2022 року. У майбутньому звіт APT буде опубліковано разом із звітом ESET про загрози.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.