Spoločnosť Eset  zverejnila svoju najnovšiu správu o aktivitách vybraných skupín pokročilých pretrvávajúcich hrozieb (APT), ktoré boli pozorované, skúmané a analyzované od apríla 2023 do konca septembra 2023. Výskumníci sa v správe Eset APT Activity Report zaznamenali zneužívanie známych zraniteľností rôznymi APT skupinami, ktoré sa snažili získať údaje od vládnych inštitúcií. Bližšie sa pritom pozreli na kampane skupín blízkych Číne v Európskej únii a na vývoj ruskej kybernetickej vojny v Ukrajine od sabotáže k špionáži.

Skupiny Sednit a Sandworm napojené na Rusko, Konni napojená na Severnú Kóreu, a geograficky nedefinované Winter Vivern a SturgeonPhisher zneužili zraniteľnosti vo WinRAR (Sednit, SturgeonPhisher a Konni), Roundcube (Sednit a Winter Vivern), Zimbra (Winter Vivern) a Outlook pre Windows (Sednit) na útok na rôzne vládne organizácie nielen na Ukrajine, ale aj v Európe a Strednej Ázii. Pokiaľ ide o útočníkov napojených na Čínu, skupina GALLIUM pravdepodobne využívala slabiny v serveroch Microsoft Exchange alebo IIS, čím rozšírila svoje zacielenie z telekomunikačných operátorov na vládne organizácie na celom svete. Hekeriz MirrorFace zas pravdepodobne zneužívali slabé miesta v službe online úložiska Proself a skupina TA410 pravdepodobne využila chyby v aplikačnom serveri Adobe ColdFusion. Vo svojej činnosti vo veľkom pokračovali aj skupiny napojené na Irán a Blízky východ, pričom sa zameriavali najmä na špionáž a krádeže údajov z organizácií v Izraeli. Pozoruhodné je, že na Irán napojená skupina MuddyWater sa zamerala aj na neidentifikovaný subjekt v Saudskej Arábii, pričom nasadila malvér, ktorý naznačuje možnosť, že táto skupina slúži ako vývojový tím pre pokročilejšiu skupinu.

Hlavným cieľom skupín napojených na Rusko zostala Ukrajina. Výskumníci Esetu tam objavili nové verzie známych wiperov RoarBat a NikoWiper a nový wiper, ktorý nazvali SharpNikoWiper, všetky nasadené skupinou Sandworm.  (Počítačový malvér wiper –  vymazávač – je druh škodlivého softvéru, ktorý je navrhnutý tak, aby nielen infikoval cieľový počítač, ale aj vymazal alebo znehodnotil dáta a súbory na ňom, čím spôsobuje vážne škody a straty informácií). Zaujímavé je, že zatiaľ čo iné skupiny – napríklad Gamaredon, GREF a SturgeonPhisher – sa zameriavajú na používateľov služby Telegram a snažia sa exfiltrovať informácie alebo aspoň niektoré metadáta súvisiace s Telegramom, Sandworm využíva túto službu na účely propagandy, pričom propaguje svoje operácie kybernetickej sabotáže. Najaktívnejšou skupinou na Ukrajine však naďalej zostávala skupina Gamaredon, ktorá výrazne rozšírila svoje schopnosti zhromažďovania údajov prepracovaním existujúcich nástrojov a nasadením nových.

Čítajte viac: BadBazaar – Hackeri napojení na Čínu špehujú obete cez falošné aplikácie Signal a Telegram

Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na Japonsko, Južnú Kóreu a subjekty zamerané na Južnú Kóreu, pričom využívali starostlivo pripravené spearphishingové e-maily. (Spearphishing je špecifická forma kybernetického útoku, pri ktorom útočník cielene oslovuje konkrétne osoby alebo organizácie prostredníctvom falošných komunikácií, napríklad e-mailov, s cieľom získať citlivé informácie, ako heslá, údaje o účtoch alebo iné dôležité informácie na neoprávnené účely.) Najaktívnejšou pozorovanou schémou skupiny Lazarus bola operácia DreamJob, ktorá lákala obete falošnými pracovnými ponukami na lukratívne pozície. Táto skupina neustále preukazovala svoju schopnosť vytvárať škodlivý softvér pre všetky hlavné počítačové platformy.

Napokon ESET odhalil činnosť troch predtým neidentifikovaných skupín napojených na Čínu: DigitalRecyclers, ktorá opakovane kompromituje vládnu organizáciu v EÚ, TheWizards, ktorá vykonáva útoky typu adversary-in-the-middle, a PerplexedGoblin, ktorá sa zameriava na ďalšiu vládnu organizáciu v EÚ.

ESET poskytuje okrem verejného ESET APT Activity Reportu aj omnoho detailnejšiu správu ESET APT Report PREMIUM určenú pre organizácie zamerané na ochranu občanov či kritickej infraštruktúry. Poskytuje v nej hĺbkové technické detaily a pravidelné aktualizácie aktivít špecifických APT skupín. Viac informácií o službách ESET Threat Intelligence nájdete na tejto stránke. Celý ESET APT Activity Report si môžete prečítať na tomto odkaze.