ESET APT Activity Report poskytuje pravidelný přehled společnosti ESET o aktivitách skupin zaměřených na pokročilé přetrvávající hrozby. Aktuální vydání mapuje období od dubna do září 2025.
Co jsou APT skupiny?Skupiny zaměřující se na pokročilé přetrvávající hrozby (Advanced Persistent Threats – APT) jsou seskupení útočníků, obvykle z řad státních organizací nebo organizací, které pracují na objednávku států. Zaměřují se na cílené a sofistikované kybernetické operace ve snaze proniknout do systémů vysoko postavených cílů (vládní organizace, korporace) a nepozorovaně v nich zůstat delší dobu. Činí tak většinou za účelem dlouhodobé kybernetické špionáže a odcizení citlivých údajů. APT skupiny disponují širokou škálou poznatků, pokročilými nástroji a technikami, díky nimž dokáží zneužívat zero-day zranitelnosti. |
APT skupiny napojené na Rusko se ve sledovaném období nadále zaměřovaly na Ukrajinu a země se strategickými vazbami na ni. Rozšířily však zároveň své operace na evropské cíle. Jejich hlavní metodou kompromitace a vektorem průniku zůstal Spear phishing.
Skupina útočníků RomCom zneužila zranitelnost typu zero-day v programu WinRAR k nasazení škodlivých knihoven DLL a k doručení různých škodlivých kódů (backdoorů). Společnost ESET tuto zranitelnost nahlásila společnosti WinRAR, která ji okamžitě opravila. Aktivita skupiny se soustředila především na finanční, výrobní, obranný a logistický sektor v EU a Kanadě.
Gamaredon zůstal nejaktivnější APT skupinou, která se zaměřuje na Ukrajinu. Intenzita a frekvence jejích operací ve sledovaném období výrazně vzrostla. Tento nárůst aktivity se shodoval s výjimečným případem spolupráce mezi skupinami napojenými na Rusko, kdy Gamaredon cíleně nasadil jeden z backdoorů APT skupiny Turla. Sada nástrojů Gamaredonu se pravděpodobně i díky této spolupráci nadále vyvíjela.
Obě skupiny jsou součástí ruské FSB. Podle Služby bezpečnosti Ukrajiny provozují skupinu Gamaredon důstojníci 18. centra FSB (známého také jako Centrum informační bezpečnosti) na Krymu, které je součástí kontrarozvědné služby FSB. Pokud jde o skupinu Turla, britské Národní centrum kybernetické bezpečnosti (NCSC) ji spojuje s 16. centrem FSB, což je hlavní ruská bezpečnostní a kontrarozvědná služba.
Další nechvalně proslulá APT skupina Sandworm se podobně jako Gamaredon zaměřila také na Ukrajinu. Cílem byla destrukce, nikoli kyberšpionáž. Skupina nasadila tzv. wipery (ZEROLOT, Sting) proti vládním institucím, společnostem v energetickém a logistickém sektoru a výrazně také v oblasti produkce obilí. Pravděpodobným cílem bylo oslabení ukrajinské ekonomiky. Další z útočníků napojených na Rusko, InedibleOchotense, vedli spearphishingovou kampaň vydávající se za společnost ESET. Tato kampaň zahrnovala e-maily a zprávy přes platformu Signal, přes které útočníci obětem doručili trojanizovaný instalátor ESETu. Po kliknutí došlo ke stažení legitimního produktu ESET spolu s backdoorem Kalambur.
Významnou aktivitou méně známých útočníků byla například kampaň APT skupiny FrostyNeighbor, která zneužila zranitelnost XSS ve službě Roundcube. Na polské a litevské společnosti zacílily spearphishingovými e-maily, které útočníci vydávali za zprávy od polských firem. V obsahu e-mailů útočníci využili velké množství odrážek a emoji. Tato struktura připomínala obsah generovaný umělou inteligencí, což naznačuje možné využití AI nástrojů v kampani. Mezi použitými škodlivými kódy byl například nástroj pro krádež přihlašovacích údajů či pro krádež e-mailových zpráv.
Podpora geopolitických zájmů
APT skupiny napojené na Čínu pokračovaly během sledovaného období v prosazování geopolitických cílů Pekingu. ESET zaznamenal rostoucí využívání techniky „adversary-in-the-middle“, a to jak pro získání počátečního přístupu, tak pro tzv. laterální pohyb napříč sítí k získání citlivých dat a dalšího přístupu. Tuto techniku využívaly skupiny jako PlushDaemon, SinisterEye, Evasive Panda či TheWizards.
Skupina FamousSparrow zahájila „turné“ po Latinské Americe – může se jednat o reakci na strategický zájem administrativy Donalda Trumpa o tuto oblast a vliv může mít také probíhající mocenské soupeření mezi USA a Čínou. Jejím cílem bylo více vládních institucí v regionu. Skupina Mustang Panda zůstala vysoce aktivní v jihovýchodní Asii, Spojených státech a Evropě. Zaměřovala se na vládní, strojírenský a námořní dopravní sektor. Flax Typhoon cílila na zdravotnictví na Tchaj-wanu prostřednictvím zneužití veřejně dostupných webových serverů a nasazení webshellů k napadení obětí. Skupina pravidelně zapojuje do útoků svou infrastrukturu SoftEther VPN a začala také používat open-source proxy, BUUT. APT skupina Speccom mezitím cílila na energetický sektor ve Střední Asii, pravděpodobně s cílem získat lepší přehled o operacích financovaných Čínou a snížit závislost Číny na dovozu ze zámoří. Zdá se, že u několika skupin napojených na čínský režim začíná být oblíbený jeden z backdoorů v sadě nástrojů skupiny Speccom, BLOODALCHEMY.
Skupiny napojené na režim v Severní Koreji cílily na kryptoměny a výrazně rozšířily své operace do Uzbekistánu, který dosud nebyl v jejich oblasti zájmu. V posledních měsících bezpečnostní experti zdokumentovali několik nových kampaní vedených skupinami DeceptiveDevelopment, Lazarus, Kimsuky a Konni, jejichž cílem byla špionáž, prosazování geopolitických priorit Pchjongjangu a generování příjmů pro režim. Kimsuky experimentovala s technikou ClickFix při útocích na diplomatické subjekty, jihokorejské think-tanky a akademickou sféru, zatímco Konni použila sociální inženýrství s neobvyklým zaměřením na zařízení s operačním systémem macOS.
Spear phishing ve službách APT skupin
Bezpečnostní experti z ESETu zaznamenali také pokračující nárůst spearphishingových aktivit skupiny MuddyWater napojené na Írán. Skupina si osvojila techniku zasílání spearphishingových e-mailů interně – z kompromitovaných schránek uvnitř cílové organizace. Tento postup má výrazně vysokou míru úspěšnosti.
Aktivní zůstaly i další skupiny napojené na Írán: BladedFeline začala využívat novou infrastrukturu, zatímco GalaxyGato nasadila vylepšený backdoor C5. Přidala také zajímavý prvek do své kampaně – využila DLL-search-order hijacking ke krádeži přihlašovacích údajů.
ESET Threat Intelligence
Kromě veřejné zprávy ESET APT Activity Report poskytuje společnost ESET také podrobnější zprávu ESET APT Report PREMIUM určenou pro organizace zaměřené na ochranu občanů, kritické infrastruktury nebo vysoce cenných aktiv před kybernetickými útoky vedenými kyberzločinci a národními státy.
Zpráva poskytuje podrobné technické informace a pravidelné aktualizace o činnosti konkrétních APT skupin. Více informací o službách ESET Threat Intelligence naleznete na této stránce.
