ESET APT Activity Report poskytuje pravidelný přehled společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby. Aktuální vydání mapuje období od října 2024 do března 2025.
Co jsou APT skupiny?Skupiny zaměřující se na pokročilé přetrvávající hrozby (Advanced Persistent Threats – APT) jsou seskupení útočníků, obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Zaměřují se na cílené a sofistikované kybernetické operace ve snaze proniknout do systémů vysoko postavených cílů (vládní organizace, korporace) a nepozorovaně v nich zůstat delší dobu. Činí tak většinou za účelem dlouhodobé kybernetické špionáže a odcizení citlivých údajů. APT skupiny disponují širokou škálou poznatků, pokročilými nástroji a technikami, díky nimž dokáží zneužívat zero-day zranitelnosti. |
Během sledovaného období od října 2024 do března 2025 bezpečnostní experti z ESETu zjistili, že útočníci napojení na Rusko, zejména skupiny Sednit a Gamaredon, vedli agresivní kampaně zaměřené primárně na Ukrajinu a země EU. Skupina Sandworm, která je rovněž spojována s Ruskem, zesílila své ničivé operace proti ukrajinským energetickým společnostem a nasadila nový škodlivý kód typu wiper s názvem ZEROLOT. Útočníci napojení na Čínu pokračovali ve svých špionážních aktivitách. Ve sledovaném období se nadále zaměřovali na evropské organizace. Skupiny spojované s režimem v Severní Koreji rozšířily své kampaně, ve kterých využívají techniky sociálního inženýrství a falešné pracovní nabídky.
Přečtěte si také: 5 věcí, které byste měli vědět o útocích typu wiper
Kybernetické útoky Ruskem podporovaných skupin útočníků byly nejvíce intenzivní na Ukrajině. Nejaktivnější skupinou zaměřenou na Ukrajinu zůstala Gamaredon. Útočníci z tohoto uskupení vylepšili techniky maskování malwaru, tzv. obfuskaci (úpravy zdrojového kódu s cílem znemožnit jeho analýzu), a představili nástroj PteroBox určený ke krádeži souborů zasílaných přes službu Dropbox.
„APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.
Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu. Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny – Group Policy – ve službě Active Directory u postižených organizací.
Přehled zemí, ze kterých útoky ve sledovaném období přicházely.
Skupina Sednit, známá také pod jmény FancyBear nebo APT28, zdokonalila zneužívání zranitelností ve webmailových službách. Ve sledovaném období tito útočníci rozšířili svou operaci RoundPress z platformy Roundcube i na služby Horde, MDaemon a Zimbra. Bezpečnostní experti z ESETu zjistili, že skupina úspěšně zneužila zero-day zranitelnost v e-mailovém serveru MDaemon (CVE-2024-11182) proti ukrajinským firmám. V několika případech skupina Sednit využila také cílené spearphishingové e-mailové kampaně. Ty jí posloužily jako návnada v útocích na obranné firmy v Bulharsku a na Ukrajině. Další skupina napojená na Rusko, RomCom, prokázala své pokročilé schopnosti tím, že zneužila zranitelnosti ve webovém prohlížeči Mozilla Firefox (CVE-2024-9680) a v operačním systému Microsoft Windows (CVE-2024-49039).
Čínský zájem o Evropu
Útočníci napojení na Čínu pokračovali ve svých kampaních proti vládním a akademickým institucím.
Čínská APT skupina Mustang Panda zůstala v rámci asijského regionu nejaktivnější. Jejími cíli byly vládní instituce a společnosti působící v oblasti námořní dopravy. V rámci těchto útoků skupina využívala trojského koně Korplug a škodlivá USB zařízení. Útočníci ze skupiny DigitalRecyclers pokračovali v útocích na vládní instituce zemí EU. Využívali při nich virtuální privátní síť KMA VPN a škodlivé kódy, tzv. zadní vrátka (backdoory) RClient, HydroRShell a GiftBox. Skupina PerplexedGoblin použila ve sledovaném období svůj nový špionážní backdoor proti vládní instituci ve střední Evropě. Společnost ESET tento škodlivý kód pojmenovala NanoSlate. Útočníci ze skupiny Webworm cílili na srbskou vládní organizaci prostřednictvím VPN sítě SoftEther.
Severokorejská hrozba pro kryptoměny
Útočníci napojení na režim v Severní Koreji byli obzvláště aktivní v kampaních, které slibovaly finanční zisk. Skupina útočníků DeceptiveDevelopment výrazně rozšířila oblasti, na které se zaměřuje, když k nalákání obětí využila falešné pracovní nabídky. Cílem byla krádež přístupových údajů do kryptoměnových peněženek a přihlašovacích údajů z webových prohlížečů a správců hesel. Skupina využívala inovativní techniky sociálního inženýrství k šíření škodlivého kódu WeaselStore určeného pro různé platformy a operační systémy.
Další významnou událostí mezi severokorejskými APT skupinami pak byla krádež kryptoměn na burze Bybit. FBI tento útok připsala skupině TraderTraitor. Součástí tohoto útoku byla kompromitace dodavatelského řetězce – konkrétně poskytovatele kryptoměnové peněženky Safe{Wallet}. Útok měl za následek ztrátu v přibližné hodnotě 1,5 miliardy dolarů (USD).
Ostatní skupiny napojené na Severní Koreu mezitím vykazovaly kolísání v intenzitě svých operací. Po citelném loňském poklesu se skupiny Kimsuky a Konni vrátily na začátku roku 2025 na obvyklou úroveň svých aktivit. Změnily však své zacílení. Místo na anglicky mluvící think-tanky, nevládní organizace a experty na KLDR se nyní zaměřují především na jihokorejské subjekty a diplomatický personál. Skupina Andariel se po roce nečinnosti znovu objevila na scéně spolu se sofistikovaným útokem na jihokorejskou firmu vyvíjející průmyslový software.
ESET Threat Intelligence
Kromě veřejné zprávy ESET APT Activity Report poskytuje společnost ESET také podrobnější zprávu ESET APT Report PREMIUM určenou pro organizace zaměřené na ochranu občanů, kritické infrastruktury nebo vysoce cenných aktiv před kybernetickými útoky vedenými kyberzločinci a národními státy.
Zpráva poskytuje podrobné technické informace a pravidelné aktualizace o činnosti konkrétních APT skupin. Více informací o službách ESET Threat Intelligence naleznete na této stránce.
