Volgens het rapport van ESET-onderzoekers bleven APT-groepen die banden hadden met Rusland deelnemen aan operaties die specifiek gericht waren op Oekraïne, met behulp van destructieve gegevenswissers en ransomware gedurende deze periode. Goblin Panda, een aan China gelieerde groep, begon de interesse van Mustang Panda in Europese landen te kopiëren. Ook aan Iran gelieerde groepen opereren op hoog niveau. Samen met Sandworm gingen andere Russische APT-groepen zoals Callisto en Gamaredon door met hun phishing-aanvallen gericht op Oost-Europese burgers.
De hoogtepunten van het ESET APT Activiteitenrapport zijn als volgt:
ESET heeft ontdekt dat in Oekraïne de beruchte Sandworm-groep voorheen onbekende software voor het wissen van gegevens gebruikt tegen een bedrijf in de energiesector. Operaties van APT-groepen worden meestal uitgevoerd door door de staat of door de staat gesponsorde deelnemers. De aanval kwam op hetzelfde moment dat de Russische strijdkrachten in oktober raketaanvallen lanceerden op energie-infrastructuur. Hoewel ESET de coördinatie tussen deze aanvallen niet kan bewijzen, stelt het zich voor dat Sandworm en het Russische leger hetzelfde doel hebben.
ESET heeft NikoWiper uitgeroepen tot de nieuwste in een reeks eerder ontdekte datawissoftware. Deze software werd in oktober 2022 gebruikt tegen een bedrijf dat actief is in de energiesector in Oekraïne. NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma dat Microsoft gebruikt om veilig bestanden te verwijderen. Naast malware voor het wissen van gegevens, ontdekte ESET ook Sandworm-aanvallen die ransomware als wisser gebruiken. Hoewel bij deze aanvallen ransomware wordt gebruikt, is het belangrijkste doel het vernietigen van gegevens. In tegenstelling tot gewone ransomware-aanvallen, verstrekken Sandworm-operators geen decoderingssleutel.
In oktober 2022 werd door ESET gedetecteerd dat Prestige-ransomware werd gebruikt tegen logistieke bedrijven in Oekraïne en Polen. In november 2022 werd in Oekraïne een nieuwe ransomware ontdekt, geschreven in .NET, genaamd RansomBoggs. ESET Research heeft deze campagne openbaar gemaakt op zijn Twitter-account. Samen met Sandworm zetten andere Russische APT-groepen zoals Callisto en Gamaredon hun Oekraïense gerichte phishing-aanvallen voort om inloggegevens te stelen en implantaten te implanteren.
Onderzoekers van ESET ontdekten ook een MirrorFace phishing-aanval gericht op politici in Japan, en merkten een faseverschuiving op in de aanval op sommige aan China gelieerde groepen – Goblin Panda is begonnen met het kopiëren van de interesse van Mustang Panda in Europese landen. In november ontdekte ESET een nieuwe Goblin Panda-achterdeur die het TurboSlate noemt bij een overheidsinstantie in de Europese Unie. Mustang Panda bleef zich ook richten op Europese organisaties. In september werd een Korplug-lader die door Mustang Panda werd gebruikt, geïdentificeerd bij een onderneming in de Zwitserse energie- en engineeringsector.
Aan Iran gelieerde groepen zetten hun aanvallen ook voort – POLONIUM begon zich te richten op Israëlische bedrijven en hun buitenlandse dochterondernemingen, en MuddyWater infiltreerde waarschijnlijk in een actieve veiligheidsdienstverlener.
Aan Noord-Korea gelieerde groepen hebben oude beveiligingsproblemen gebruikt om cryptocurrency-bedrijven en -uitwisselingen over de hele wereld te infiltreren. Interessant is dat Konni de talen die hij gebruikte in zijn valdocumenten uitbreidde door Engels aan zijn lijst toe te voegen; wat zou kunnen betekenen dat het zich niet richt op zijn gebruikelijke Russische en Zuid-Koreaanse doelen.
Wees de eerste om te reageren