Согласно отчету исследователей ESET, APT-группы, связанные с Россией, в этот период продолжали принимать участие в операциях, специально нацеленных на Украину, используя деструктивные программы для удаления данных и программы-вымогатели. Группа Goblin Panda, связанная с Китаем, начала копировать интерес Mustang Panda к европейским странам. Связанные с Ираном группы также действуют на высоком уровне. Наряду с Sandworm, другие российские APT-группы, такие как Callisto, Gamaredon, продолжали свои фишинговые атаки на граждан Восточной Европы.
Основные моменты отчета об активности ESET APT:
Компания ESET обнаружила, что в Украине печально известная группировка Sandworm использует ранее неизвестное программное обеспечение для удаления данных против компании энергетического сектора. Операции групп APT обычно осуществляются государственными или спонсируемыми государством участниками. Атака произошла в то же время, когда в октябре российские вооруженные силы нанесли ракетные удары по энергетической инфраструктуре. Хотя ESET не может доказать связь между этими атаками, она предполагает, что Sandworm и российские военные преследуют одну и ту же цель.
ESET назвала NikoWiper последней из ранее обнаруженных программ для очистки данных. Это программное обеспечение было использовано против компании, работающей в энергетическом секторе Украины, в октябре 2022 года. NikoWiper основан на SDelete, утилите командной строки, которую Microsoft использует для безопасного удаления файлов. Помимо вредоносного ПО, уничтожающего данные, компания ESET обнаружила атаки Sandworm, в которых в качестве средства очистки используется программа-вымогатель. Хотя в этих атаках используется программа-вымогатель, основной целью является уничтожение данных. В отличие от обычных атак программ-вымогателей, операторы Sandworm не предоставляют ключ дешифрования.
В октябре 2022 года ESET обнаружила, что программа-вымогатель Prestige используется против логистических компаний в Украине и Польше. В ноябре 2022 года в Украине была обнаружена новая программа-вымогатель, написанная на .NET, под названием RansomBoggs. ESET Research опубликовала информацию об этой кампании в своем аккаунте в Твиттере. Наряду с Sandworm, другие российские APT-группы, такие как Callisto и Gamaredon, продолжали свои целенаправленные фишинговые атаки на Украину с целью кражи учетных данных и имплантатов.
Исследователи ESET также обнаружили фишинговую атаку MirrorFace, нацеленную на политиков в Японии, и заметили фазовый сдвиг в нацеливании на некоторые группы, связанные с Китаем — Goblin Panda начала копировать интересы Mustang Panda в европейских странах. В ноябре ESET обнаружила новый бэкдор Goblin Panda, который она назвала TurboSlate, в правительственном учреждении Европейского Союза. Mustang Panda также продолжал атаковать европейские организации. В сентябре на одном из предприятий энергетического и машиностроительного сектора Швейцарии был обнаружен погрузчик Korplug, используемый компанией Mustang Panda.
Связанные с Ираном группы также продолжали свои атаки — POLONIUM начал атаковать израильские компании, а также их зарубежные дочерние компании, а MuddyWater, вероятно, внедрился в активного поставщика услуг безопасности.
Связанные с Северной Кореей группы использовали старые уязвимости в системе безопасности для проникновения в криптовалютные компании и биржи по всему миру. Интересно, что Конни расширил языки, которые он использовал в своих документах-ловушках, добавив в свой список английский язык; что может означать, что он не сосредотачивается на своих обычных целях в России и Южной Корее.
Будьте первым, кто оставит отзыв