Secondo il rapporto dei ricercatori ESET, i gruppi APT legati alla Russia hanno continuato a prendere parte a operazioni mirate specificamente all'Ucraina, utilizzando cancellatori di dati distruttivi e ransomware durante questo periodo. Goblin Panda, un gruppo affiliato alla Cina, ha iniziato a copiare l'interesse di Mustang Panda nei paesi europei. Anche i gruppi legati all'Iran operano ad alto livello. Insieme a Sandworm, altri gruppi APT russi come Callisto, Gamaredon hanno continuato i loro attacchi di phishing contro i cittadini dell'Europa orientale.
I punti salienti del Rapporto attività ESET APT sono i seguenti:
ESET ha rilevato che in Ucraina il famigerato gruppo Sandworm sta utilizzando un software data wiper precedentemente sconosciuto contro un'azienda del settore energetico. Le operazioni dei gruppi APT sono generalmente svolte da partecipanti statali o sponsorizzati dallo stato. L'attacco è avvenuto nello stesso momento in cui le forze armate russe hanno lanciato attacchi missilistici contro le infrastrutture energetiche in ottobre. Sebbene ESET non possa dimostrare il coordinamento tra questi attacchi, prevede che Sandworm e l'esercito russo abbiano lo stesso obiettivo.
ESET ha definito NikoWiper l'ultimo di una serie di software per la pulizia dei dati scoperti in precedenza. Questo software è stato utilizzato contro una società operante nel settore energetico in Ucraina nell'ottobre 2022. NikoWiper si basa su SDelete, un'utilità della riga di comando che Microsoft utilizza per eliminare in modo sicuro i file. Oltre al malware che cancella i dati, ESET ha scoperto gli attacchi Sandworm che utilizzano il ransomware come wiper. Sebbene in questi attacchi venga utilizzato il ransomware, lo scopo principale è distruggere i dati. A differenza dei comuni attacchi ransomware, gli operatori Sandworm non forniscono una chiave di decrittazione.
Nell'ottobre 2022, il ransomware Prestige è stato rilevato da ESET come utilizzato contro società di logistica in Ucraina e Polonia. Nel novembre 2022, in Ucraina è stato scoperto un nuovo ransomware scritto in .NET chiamato RansomBoggs. ESET Research ha reso pubblica questa campagna sul proprio account Twitter. Insieme a Sandworm, altri gruppi APT russi come Callisto e Gamaredon hanno continuato i loro attacchi di phishing mirati in Ucraina per rubare credenziali e impiantare impianti.
I ricercatori ESET hanno anche rilevato un attacco di phishing MirrorFace rivolto a politici in Giappone e hanno notato uno spostamento di fase nel prendere di mira alcuni gruppi collegati alla Cina: Goblin Panda ha iniziato a copiare l'interesse di Mustang Panda nei paesi europei. A novembre, ESET ha scoperto una nuova backdoor Goblin Panda che chiama TurboSlate presso un'agenzia governativa dell'Unione Europea. Mustang Panda ha anche continuato a prendere di mira le organizzazioni europee. A settembre, un caricatore Korplug utilizzato da Mustang Panda è stato identificato presso un'impresa del settore energetico e ingegneristico svizzero.
Anche i gruppi collegati all'Iran hanno continuato i loro attacchi: POLONIUM ha iniziato a prendere di mira le società israeliane e le loro sussidiarie estere e MuddyWater probabilmente si è infiltrato in un fornitore di servizi di sicurezza attivo.
I gruppi collegati alla Corea del Nord hanno utilizzato vecchie vulnerabilità di sicurezza per infiltrarsi nelle società e negli scambi di criptovaluta in tutto il mondo. È interessante notare che Konni ha ampliato le lingue che ha usato nei suoi documenti trap, aggiungendo l'inglese alla sua lista; il che potrebbe significare che non si sta concentrando sui suoi soliti obiettivi russi e sudcoreani.
Sii il primo a commentare