ESET APT Activity Report nově poskytuje pravidelný přehled poznatků společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby (Advanced Persistent Threat - APT). První vydání mapuje období od května do srpna 2022.
Co jsou APT skupiny? Skupiny zaměřující se na pokročilé přetrvávající hrozby (Advanced Persistent Threats – APT) jsou seskupení útočníků, obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Zaměřují se na cílené a sofistikované kybernetické operace ve snaze proniknout do systémů vysoko postavených cílů (vládní organizace, korporace) a nepozorovaně v nich zůstat delší dobu. Činí tak většinou za účelem dlouhodobé kybernetické špionáže a odcizení citlivých údajů. APT skupiny disponují širokou škálou poznatků, pokročilými nástroji a technikami, díky nimž dokáží zneužívat zero-day zranitelnosti. |
Hlavním cílem ruských skupin je i nadále Ukrajina
I více než osm měsíců po ruské invazi je Ukrajina nadále hlavním cílem APT skupin napojených na Rusko, jako je nechvalně známý Sandworm, ale také Gamaredon, InvisiMole, Callisto a Turla.
„Ve sledovaném období jsme zaznamenali, že několik skupin napojených na Rusko využívalo ruskou multiplatformní komunikační službu Telegram k přístupu na C&C servery nebo jako nástroj k úniku informací. Útočníci z jiných regionů se také snažili získat přístup do ukrajinských organizací, a to jak za účelem kybernetické špionáže, tak krádeže duševního vlastnictví,“ upřesňuje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.
Skupiny napojené na Severní Koreu a Čínu zůstávají mimořádně aktivní
Velkému zájmu skupin napojených na Severní Koreu se i nadále těší letecký a obranný průmysl spolu s finančními a kryptoměnovými společnostmi a burzami. „Letecký a obranný průmysl je i nadále předmětem zájmu severokorejských skupin. Skupina Lazarus se zaměřila na zaměstnance letecké společnosti v Nizozemsku. Odhalili jsme, že skupina zneužila zranitelnost v legitimním ovladači Dell k infiltraci do společnosti a domníváme se, že se jedná o vůbec první zaznamenané reálné zneužití této zranitelnosti,“ pokračuje Šuman.
Finanční instituce a subjekty pracující s kryptoměnami se staly cílem kampaní severokorejských skupin Kimsuky a Lazarus. Jedna z kampaní, kterou výzkumníci společnosti ESET nazvali Operace In(ter)ception, se odklonila od obvyklých cílů, mezi které patří letecký a obranný průmysl. Útočníci se v tomto případě zaměřili na jedince z Argentiny, kterému nastrčili malware maskovaný za nabídku práce ve společnosti Coinbase. ESET také zaznamenal skupinu Konni využívající techniku, kterou v minulosti používal Lazarus - kompromitovanou verzi PDF prohlížeče Sumatra.
Mimořádně aktivní byly i skupiny napojené na Čínu, které využívaly různé zranitelnosti a dosud nezaznamenané backdoory. ESET například identifikoval novou variantu backdooru pro Linux, kterou použila skupina SparklingGoblin proti univerzitě v Hongkongu. Stejná skupina využila zranitelnost Confluence k útoku na potravinářskou společnost v Německu a strojírenskou společnost se sídlem v USA. ESET má také podezření, že zranitelnost ManageEngine ADSelfService Plus stála za kompromitací amerického dodavatele obranných technologií, jehož systémy byly narušeny pouhé dva dny po zveřejnění zranitelnosti. V Japonsku společnost ESET identifikovala několik kampaní MirrorFace, z nichž jedna přímo souvisela s volbami do horní komory japonského parlamentu.
Íránské skupiny se zaměřují na Izrael a Blízký východ a zároveň monitorují své vlastní občany
Rostoucí počet skupin napojených na Írán se nadále zaměřoval především na izraelské cíle. Výzkumníkům společnosti ESET se podařilo přiřadit kampaň zaměřenou na desítku organizací v Izraeli skupině POLONIUM a identifikovat několik dosud nezdokumentovaných backdoorů. Skupina Agrius se podle všeho zase v rámci útoku na dodavatelský řetězec zneužívající izraelský softwarový balík zaměřovala na organizace v Jihoafrické republice, Hongkongu a Izraeli působící v diamantovém průmyslu. V další kampani v Izraeli výzkumníci pozorovali možný průnik v použití nástrojů skupinami MuddyWater a APT35. ESET také objevil novou verzi malwaru pro Android s omezenými špionážními funkcemi, která byla použitá v kampani vedené skupinou APT-C-50 a distribuována falešnou íránskou webovkou stránkou s překlady.
Další technické informace naleznete v kompletní zprávě ESET APT Activity Report T2.