Згідно зі звітом дослідників ESET, групи APT, пов’язані з Росією, продовжували брати участь в операціях, спрямованих саме на Україну, використовуючи руйнівні очищувачі даних і програми-вимагачі протягом цього періоду. Goblin Panda, афілійована з Китаєм група, почала копіювати інтерес Mustang Panda до європейських країн. Пов'язані з Іраном групи також діють на високому рівні. Разом із Sandworm інші російські групи APT, такі як Callisto, Gamaredon, продовжували свої фішингові атаки, націлені на громадян Східної Європи.
Основні моменти звіту про діяльність ESET APT такі:
ESET виявила, що в Україні сумнозвісна група Sandworm використовує раніше невідоме програмне забезпечення для стирання даних проти енергетичної компанії. Діяльність груп APT зазвичай здійснюється державою або спонсорованими державою учасниками. Атака сталася одночасно з ракетними ударами російських збройних сил по енергетичній інфраструктурі в жовтні. Хоча ESET не може довести координацію між цими атаками, вона передбачає, що Sandworm і російські військові мають однакову мету.
Компанія ESET назвала NikoWiper останньою програмою для стирання даних, виявленою раніше. Це програмне забезпечення було використано проти компанії, яка працює в енергетичному секторі в Україні, у жовтні 2022 року. NikoWiper базується на SDelete, утиліті командного рядка, яку Microsoft використовує для безпечного видалення файлів. Окрім зловмисного програмного забезпечення, що стирає дані, ESET виявила атаки Sandworm, які використовують програму-вимагач як очищувач. Незважаючи на те, що в цих атаках використовуються програми-вимагачі, основною метою є знищення даних. На відміну від поширених атак програм-вимагачів, оператори Sandworm не надають ключа розшифровки.
У жовтні 2022 року програма-вимагач Prestige була виявлена ESET як використовувана проти логістичних компаній в Україні та Польщі. У листопаді 2022 року в Україні було виявлено нову програму-вимагач, написану на .NET, під назвою RansomBoggs. ESET Research опублікувала цю кампанію у своєму обліковому записі Twitter. Разом із Sandworm, інші російські APT-групи, такі як Callisto та Gamaredon, продовжували цільові фішингові атаки з України, щоб викрасти облікові дані та імплантувати імпланти.
Дослідники ESET також виявили фішинг-атаку MirrorFace, націлену на політиків у Японії, і помітили фазовий зсув у націленні на деякі пов’язані з Китаєм групи – Goblin Panda почала копіювати інтереси Mustang Panda до європейських країн. У листопаді ESET виявила новий бекдор Goblin Panda під назвою TurboSlate в урядовій установі в Європейському Союзі. Mustang Panda також продовжує націлюватися на європейські організації. У вересні навантажувач Korplug, який використовувався Mustang Panda, був виявлений на підприємстві в енергетичному та машинобудівному секторі Швейцарії.
Групи, пов’язані з Іраном, також продовжили свої атаки – POLONIUM почав атакувати ізраїльські компанії, а також їхні іноземні дочірні компанії, а MuddyWater, ймовірно, проникла в активного постачальника послуг безпеки.
Групи, пов’язані з Північною Кореєю, використовували старі вразливості системи безпеки, щоб проникнути в криптовалютні компанії та біржі по всьому світу. Цікаво, що Конні розширив мови, які він використовував у своїх документах-пастках, додавши англійську до свого списку; що може означати, що він не зосереджується на своїх звичайних цілях у Росії та Південній Кореї.
Першим залиште коментар