Laut dem Bericht von ESET-Forschern beteiligten sich mit Russland verbundene APT-Gruppen weiterhin an Operationen, die speziell auf die Ukraine abzielten, und nutzten während dieser Zeit zerstörerische Datenlöscher und Ransomware. Goblin Panda, eine mit China verbundene Gruppe, begann, das Interesse von Mustang Panda an europäischen Ländern zu kopieren. Auch mit dem Iran verbundene Gruppen operieren auf hohem Niveau. Zusammen mit Sandworm setzten andere russische APT-Gruppen wie Callisto, Gamaredon ihre Phishing-Angriffe auf osteuropäische Bürger fort.
Die Highlights des ESET APT-Aktivitätsberichts sind wie folgt:
ESET hat entdeckt, dass in der Ukraine die berüchtigte Sandworm-Gruppe bisher unbekannte Datenlöschsoftware gegen ein Unternehmen aus dem Energiesektor einsetzt. Operationen von APT-Gruppen werden in der Regel von staatlichen oder staatlich geförderten Teilnehmern durchgeführt. Der Angriff erfolgte zur gleichen Zeit, als die russischen Streitkräfte im Oktober Raketenangriffe auf die Energieinfrastruktur starteten. Obwohl ESET die Koordination zwischen diesen Angriffen nicht beweisen kann, sieht es vor, dass Sandworm und das russische Militär dasselbe Ziel haben.
ESET hat NikoWiper als neueste in einer Reihe von zuvor entdeckten Datenlöschsoftware bezeichnet. Diese Software wurde im Oktober 2022 gegen ein im Energiesektor tätiges Unternehmen in der Ukraine eingesetzt. NikoWiper basiert auf SDelete, einem Befehlszeilenprogramm, das Microsoft zum sicheren Löschen von Dateien verwendet. Zusätzlich zu datenlöschender Malware entdeckte ESET Sandworm-Angriffe, die Ransomware als Wiper verwenden. Obwohl bei diesen Angriffen Ransomware verwendet wird, besteht der Hauptzweck darin, Daten zu zerstören. Im Gegensatz zu üblichen Ransomware-Angriffen stellen Sandworm-Betreiber keinen Entschlüsselungsschlüssel bereit.
Im Oktober 2022 entdeckte ESET, dass Prestige-Ransomware gegen Logistikunternehmen in der Ukraine und Polen eingesetzt wurde. Im November 2022 wurde in der Ukraine eine neue in .NET geschriebene Ransomware namens RansomBoggs entdeckt. ESET Research hat diese Kampagne auf seinem Twitter-Account veröffentlicht. Zusammen mit Sandworm setzten andere russische APT-Gruppen wie Callisto und Gamaredon ihre gezielten Phishing-Angriffe auf die Ukraine fort, um Zugangsdaten zu stehlen und Implantate zu implantieren.
ESET-Forscher entdeckten auch einen MirrorFace-Phishing-Angriff auf Politiker in Japan und bemerkten eine Phasenverschiebung bei der Ausrichtung auf einige mit China verbundene Gruppen – Goblin Panda hat damit begonnen, das Interesse von Mustang Panda an europäischen Ländern zu kopieren. Im November entdeckte ESET bei einer Regierungsbehörde in der Europäischen Union eine neue Goblin-Panda-Hintertür namens TurboSlate. Mustang Panda zielte auch weiterhin auf europäische Organisationen ab. Im September wurde bei einem Unternehmen der Schweizer Energie- und Maschinenbaubranche ein von Mustang Panda verwendeter Korplug-Lader identifiziert.
Auch mit dem Iran verbundene Gruppen setzten ihre Angriffe fort – POLONIUM fing an, israelische Unternehmen sowie deren ausländische Tochtergesellschaften ins Visier zu nehmen, und MuddyWater infiltrierte wahrscheinlich einen aktiven Sicherheitsdienstleister.
Mit Nordkorea verbundene Gruppen haben alte Sicherheitslücken genutzt, um Kryptowährungsunternehmen und -börsen auf der ganzen Welt zu infiltrieren. Interessanterweise erweiterte Konni die Sprachen, die er in seinen Trap-Dokumenten verwendete, und fügte seiner Liste Englisch hinzu; was bedeuten könnte, dass es sich nicht auf seine üblichen russischen und südkoreanischen Ziele konzentriert.
Schreiben Sie den ersten Kommentar