Завдяки новому APT — Advanced Persistent Threat — Activity Report (розширений звіт про постійну загрозу — Activity Report) ESET надає регулярний огляд діяльності груп хакерів і детально аналізує їхні дії. Дуже активні групи з Росії, Північної Кореї, Ірану та Китаю.
Пов’язані з Росією хакери, такі як Sandworm, Gamaredon, Turla або InvisiMole, продовжують переслідувати Україну як свою головну ціль. Аерокосмічні та оборонні компанії популярні серед акторів, пов’язаних із Північною Кореєю. Іранські групи зосереджують свою діяльність на Ізраїлі. Німецька харчова компанія також була ціллю групи APT, пов’язаної з Китаєм. Загалом дослідники ESET не змогли виявити зниження активності серед різних хакерських груп. Поточний звіт охоплює період з травня по серпень 2022 року.
Промисловість, секрети, шантаж
«Аерокосмічна та оборонна галузі залишаються предметом великого інтересу для груп, пов’язаних із Північною Кореєю. Наприклад, Lazarus націлився на співробітника аерокосмічної компанії в Нідерландах. Згідно з нашим дослідженням, група використала вразливість у законному драйвері Dell, щоб проникнути в компанію. Ми вважаємо, що це перше зареєстроване використання цієї вразливості в дикій природі», — сказав Ян-Іан Бутін, директор ESET Threat Research. «Ми також виявили, що кілька груп, пов’язаних із Росією, зловживали службою обміну повідомленнями Telegram для доступу до командно-контрольних серверів або витоку конфіденційної інформації. Актори APT з інших регіонів також намагалися отримати доступ до українських організацій як для кібершпигунства, так і для крадіжки інтелектуальної власності», – продовжує Бутін.
Криптовалюти: ще одне поле діяльності APT-груп
Фінансові установи та компанії, що працюють з криптовалютами, були метою північнокорейського Kimsuky та двох кампаній Lazarus Group. Одна з цих дій, яку дослідники ESET назвали Operation In(ter)ception, відхилилася від їхніх звичайних цілей в аерокосмічній та оборонній промисловості. Одну людину з Аргентини атакували зловмисним програмним забезпеченням, замаскованим під пропозицію про роботу в Coinbase. ESET також виявила, що група Konni використовує техніку, яку раніше використовував Lazarus – троянську версію Sumatra PDF Viewer.
Китайські групи часто використовують бекдори
Групи, що базуються в Китаї, продовжували бути дуже активними. Вони використовували різні вразливості та бекдори, про які раніше не повідомлялося. Ось як ESET ідентифікувала варіант бекдору Linux, який використовував SparklingGoblin проти університету Гонконгу. В іншому випадку та ж група використала вразливість Confluence для атаки на харчову компанію в Німеччині та інженерну фірму в Сполучених Штатах. Дослідження ESET також підозрюють, що вразливість ManageEngine ADSelfService Plus стоїть за компрометацією оборонного підрядника США. Його системи були атаковані лише через два дні після публікації вразливості. В Японії ESET виявила кілька кампаній групи Mirrorface, одна з яких була безпосередньо пов’язана з виборами до верхньої палати парламенту.
Іранські групи зосереджені на Ізраїлі
Зростаюча кількість груп, пов'язаних з Іраном, продовжувала зосереджувати свої зусилля в основному на різних галузях промисловості Ізраїлю. Дослідники ESET змогли приписати POLONIUM дію, спрямовану на дюжину організацій, і виявили кілька раніше незадокументованих бекдорів. Agrius націлився на компанії та організації, залучені або пов’язані з алмазною промисловістю в Південній Африці, Гонконзі та Ізраїлі.
Експерти ESET вважають, що це атака на ланцюг поставок із зловживанням ізраїльським програмним забезпеченням, яке використовується в цій сфері. Інша кампанія в Ізраїлі знайшла докази можливого збігу у використанні інструментів між групами MuddyWater і APT35. Дослідження ESET також виявили нову версію зловмисного програмного забезпечення для Android у кампанії, проведеній групою APT-C-50. Його розповсюджував копіювальний іранський веб-сайт і мав обмежені шпигунські можливості.
Через звіт про діяльність ESET APT
На додаток до звіту ESET про загрози ESET Research публікує звіт ESET APT Activity Report, який має на меті надати регулярний огляд аналізу ESET активності Advanced Persistent Threats (APT). Перше видання охоплює період з травня по серпень 2022 року. Планується, що звіт буде опубліковано відразу разом зі звітом про загрози ESET.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.