Het recente APT Activity Report van ESET, dat over de periode van oktober 2023 tot maart 2024 gaat, biedt inzicht in de geavanceerde aanhoudende dreigingen (APT's) die momenteel invloed hebben op wereldwijde netwerken. Dit rapport belicht vooral de activiteiten van verschillende toonaangevende APT-groepen en biedt een cruciale analyse van hun strategieën en doelwitten.
Chinese APT-groepen
Chinese-aanvallers hebben aangetoond een voorkeur te hebben voor het uitbuiten van kwetsbaarheden in alledaagse systemen en technologieën zoals VPN's, firewalls, Confluence en Microsoft Exchange Server. Deze methoden worden ingezet om toegang te verkrijgen tot cruciale systemen binnen diverse sectoren. Het rapport benoemt specifiek de I-SOON datalek, waaruit blijkt dat de betrokken Chinese aannemer, gekoppeld aan de FishMonger-groep, betrokken is bij cyberspionage. Ook introduceert het rapport een nieuwe groep, CeranaKeeper, die mogelijk verband houdt met de Mustang Panda-groep.
Reactie op geopolitieke conflicten
Het rapport meldt een verhoogde activiteit van Iraanse groepen zoals MuddyWater en Agrius in de nasleep van een aanval door Hamas op Israël in oktober 2023. Deze groepen zijn overgestapt van cyberspionage en ransomware, naar agressievere tactieken gericht op Israël. Daarentegen is er een afname in activiteiten van andere groepen zoals OilRig en Ballistic Bobcat, die nu grotere en meer directe aanvallen uitvoeren.
Noord-Koreaanse en Russische activiteiten
Noord-Koreaanse groepen blijven zich richten op de luchtvaart- en defensie-industrie en de cryptocurrency-sector. Ze hebben hun methoden verfijnd door aanvallen op de supply-chain en het ontwikkelen van nieuwe malware. Russische APT-groepen concentreren zich op spionageactiviteiten binnen de Europese Unie en offensieve operaties tegen Oekraïne. Het rapport belicht ook de Operatie Texonto, een Russische desinformatiecampagne die gericht is op het zaaien van onrust onder Oekraïners.
Aandacht voor het Midden-Oosten en Centraal-Azië
In het Midden-Oosten wordt de SturgeonPhisher-groep, die vermoedelijk de belangen van Kazachstan dient, benadrukt. Deze groep voert campagnes uit die strategische belangen in de regio ondersteunen. Het rapport bespreekt eveneens een aanval op een regionale nieuwswebsite in Gilgit-Baltistan, een regio onder Pakistaans bestuur. Verder wordt een zero-day kwetsbaarheid in Roundcube aangekaart, uitgebuit door Winter Vivern, een groep die waarschijnlijk in het belang van Wit-Rusland handelt.
Conclusie
ESET's APT Activity Report is gebaseerd op uitgebreide telemetriegegevens en bevestigd door grondig onderzoek van hun onderzoeksteam. Deze bevindingen kunnen helpen bij het begrijpen van de huidige stand van cyberdreigingen en het voorbereiden van verdedigingen tegen het steeds veranderende dreigingslandschap en de steeds geavanceerder wordende aanvallers.
