Az ESET kutatóinak jelentése szerint az Oroszországhoz köthető APT csoportok ebben az időszakban továbbra is részt vettek a kifejezetten Ukrajnát célzó műveletekben, pusztító adattörlőket és zsarolóprogramokat használva. A Goblin Panda, egy kínai kötődésű csoport elkezdte lemásolni a Mustang Panda érdeklődését az európai országok iránt. Az Iránhoz köthető csoportok is magas szinten működnek. A Sandworm mellett más orosz APT csoportok, mint például a Callisto, a Gamaredon folytatta adathalász támadásait kelet-európai állampolgárok ellen.
Az ESET APT tevékenységi jelentés legfontosabb részei a következők:
Az ESET észlelte, hogy Ukrajnában a hírhedt Sandworm csoport korábban ismeretlen adattörlő szoftvert használ egy energiaipari vállalat ellen. Az APT csoportok működését általában állami vagy államilag támogatott résztvevők végzik. A támadásra ugyanakkor került sor, amikor az orosz fegyveres erők októberben rakétacsapásokat indítottak az energiainfrastruktúra ellen. Bár az ESET nem tudja bizonyítani a támadások közötti koordinációt, a Sandworm és az orosz hadsereg ugyanazt a célt képzeli el.
Az ESET a NikoWiper nevet adta a legújabb adattörlő szoftvernek a korábban felfedezett adattörlő szoftverek közül. Ezt a szoftvert egy ukrajnai energiaszektorban működő vállalat ellen használták 2022 októberében. A NikoWiper az SDelete parancssori segédprogramon alapul, amelyet a Microsoft a fájlok biztonságos törlésére használ. Az adattörlő rosszindulatú programokon kívül az ESET olyan Sandworm támadásokat is felfedezett, amelyek zsarolóvírusokat használnak törlőként. Bár ezekben a támadásokban ransomware-t használnak, a fő cél az adatok megsemmisítése. A gyakori zsarolóvírus-támadásokkal ellentétben a Sandworm-operátorok nem biztosítanak visszafejtő kulcsot.
2022 októberében az ESET észlelte, hogy a Prestige ransomware-t logisztikai vállalatok ellen használták Ukrajnában és Lengyelországban. 2022 novemberében egy új, .NET-ben írt zsarolóprogramot fedeztek fel Ukrajnában, RansomBoggs néven. Az ESET Research ezt a kampányt nyilvánossá tette Twitter-fiókjában. A Sandworm mellett más orosz APT-csoportok, mint például a Callisto és a Gamaredon folytatták ukrán célzott adathalász támadásaikat hitelesítő adatok ellopása és implantátumok beültetése érdekében.
Az ESET kutatói egy MirrorFace adathalász támadást is észleltek, amely Japán politikusait célozta meg, és fáziseltolódást észleltek egyes Kínához köthető csoportok célzásában – a Goblin Panda elkezdte másolni a Mustang Panda érdeklődését az európai országok iránt. Novemberben az ESET egy új, TurboSlate névre keresztelt Goblin Panda hátsó ajtót fedezett fel az Európai Unió egyik kormányzati ügynökségénél. A Mustang Panda továbbra is az európai szervezeteket célozta meg. Szeptemberben a Mustang Panda által használt Korplug rakodógépet azonosítottak egy svájci energetikai és mérnöki szektorban működő vállalkozásnál.
Az Iránhoz köthető csoportok is folytatták támadásaikat – a POLONIUM izraeli vállalatokat, valamint külföldi leányvállalataikat vette célba, a MuddyWater pedig valószínűleg beszivárgott egy aktív biztonsági szolgáltatóba.
Az Észak-Koreához köthető csoportok régi biztonsági réseket használva beszivárogtak a kriptovaluta társaságokba és tőzsdékbe szerte a világon. Érdekes módon Konni kibővítette a csapdadokumentumokban használt nyelveket, hozzáadva az angolt a listához; ami azt jelentheti, hogy nem a szokásos orosz és dél-koreai célpontjaira összpontosít.
Legyen az első, aki kommentál