ESETin tutkijoiden raportin mukaan Venäjään liittyvät APT-ryhmät jatkoivat osallistumistaan erityisesti Ukrainaan kohdistuviin operaatioihin käyttämällä tuhoisia datapyyhkimiä ja kiristysohjelmia tänä aikana. Goblin Panda, kiinalainen sidosryhmä, alkoi kopioida Mustang Pandan kiinnostusta Euroopan maihin. Iraniin liittyvät ryhmät toimivat myös korkealla tasolla. Yhdessä Sandworm, muut venäläiset APT-ryhmät, kuten Callisto, Gamaredon jatkoivat tietojenkalasteluhyökkäyksiään Itä-Euroopan kansalaisiin.
ESET APT -toimintaraportin kohokohdat ovat seuraavat:
ESET on havainnut, että Ukrainassa pahamaineinen Sandworm-ryhmä käyttää aiemmin tuntematonta tiedonpyyhintäohjelmistoa energia-alan yritystä vastaan. APT-ryhmien toiminnot ovat yleensä valtion tai valtion tukemat osallistujat. Hyökkäys tapahtui samaan aikaan kun Venäjän asevoimat käynnistivät ohjusiskuja energiainfrastruktuuriin lokakuussa. Vaikka ESET ei pysty todistamaan näiden hyökkäysten välistä koordinaatiota, se uskoo Sandwormilla ja Venäjän armeijalla olevan sama tavoite.
ESET on nimennyt NikoWiperin viimeisimmäksi aiemmin löydettyjen tietojen pyyhintäohjelmistojen sarjassa. Tätä ohjelmistoa käytettiin Ukrainassa energia-alalla toimivaa yritystä vastaan lokakuussa 2022. NikoWiper perustuu SDelete-komentorivityökaluun, jota Microsoft käyttää tiedostojen turvalliseen poistamiseen. Tietojen pyyhkimisen haittaohjelmien lisäksi ESET löysi Sandworm-hyökkäyksiä, jotka käyttävät kiristysohjelmia pyyhkimenä. Vaikka näissä hyökkäyksissä käytetään kiristysohjelmia, päätarkoitus on tietojen tuhoaminen. Toisin kuin tavalliset kiristysohjelmahyökkäykset, Sandworm-operaattorit eivät tarjoa salauksen purkuavainta.
Lokakuussa 2022 ESET havaitsi Prestige ransomwaren käytetyn logistiikkayrityksiä vastaan Ukrainassa ja Puolassa. Marraskuussa 2022 Ukrainasta löydettiin uusi .NET-verkkoon kirjoitettu kiristysohjelma nimeltä RansomBoggs. ESET Research julkaisi tämän kampanjan Twitter-tilillään. Sandwormin ohella muut venäläiset APT-ryhmät, kuten Callisto ja Gamaredon, jatkoivat Ukrainaan kohdistettuja tietojenkalasteluhyökkäyksiään varastaakseen valtuustietoja ja implantoidakseen implantteja.
ESET-tutkijat havaitsivat myös MirrorFace-phishing-hyökkäyksen, joka kohdistui poliitikkoihin Japanissa, ja havaitsivat vaiheen muutoksen joidenkin Kiinaan liittyvien ryhmien kohdistamisessa – Goblin Panda on alkanut kopioida Mustang Pandan kiinnostusta Euroopan maihin. Marraskuussa ESET löysi uuden Goblin Panda -takaoven, jota kutsutaan TurboSlateksi eräässä Euroopan unionin valtion virastossa. Mustang Panda jatkoi myös eurooppalaisia organisaatioita. Syyskuussa Mustang Pandan käyttämä Korplug-kuormaaja tunnistettiin sveitsiläisessä energia- ja suunnittelualan yrityksessä.
Iraniin liittyvät ryhmät jatkoivat myös hyökkäyksiään – POLONIUM alkoi kohdistaa israelilaisia yrityksiä sekä niiden ulkomaisia tytäryhtiöitä, ja MuddyWater todennäköisesti soluttautui aktiiviseen turvallisuuspalvelujen tarjoajaan.
Pohjois-Koreaan sidoksissa olevat ryhmät ovat käyttäneet vanhoja tietoturva-aukkoja soluttautuakseen kryptovaluuttayhtiöihin ja -pörsseihin ympäri maailmaa. Mielenkiintoista, että Konni laajensi ansa-asiakirjoissaan käyttämiään kieliä lisäämällä luetteloonsa englannin; mikä voi tarkoittaa, että se ei keskity tavanomaisiin Venäjän ja Etelä-Korean kohteisiin.
Ole ensimmäinen, joka kommentoi