ESET APT Activity Report: aanvallen door aan China, Noord-Korea en Iran gelinkte actoren; Rusland kijkt naar Oekraïne en EU
Het rapport wordt op een halfjaarlijkse basis gepubliceerd. Gedurende deze periode richtten verschillende aan China gelinkte dreigingsactoren, zoals Ke3chang en Mustang Panda, zich op Europese organisaties. In Israël heeft de op Iran gerichte groep OilRig een nieuwe aangepaste backdoor ingezet. Aan Noord-Korea gelinkte groepen bleven zich concentreren op Zuid-Koreaanse en Zuid-Korea gerelateerde organisaties. Op Rusland afgestemde APT-groepen waren vooral actief in Oekraïne en EU-landen, waarbij Sandworm wipers inzette.
Schadelijke activiteiten opgenomen in dit ESET APT-activiteitenrapport werden door ESET- technologie gedetecteerd. “ESET-producten beschermen de systemen van onze klanten tegen die kwaadaardige activiteiten. Deze informatie is grotendeels gebaseerd op ESET-telemetriegegevens en geverifieerd door ESET-onderzoekers”, zegt Jean-Ian Boutin, hoofd ESET Threat Research.
De aan China gelinkte Ke3chang-groep gebruikte tactieken zoals een nieuwe Ketrican-variant, en Mustang Panda gebruikte twee nieuwe backdoors. MirrorFace richtte zich op Japan en implementeerde nieuwe technieken voor het afleveren van malware, terwijl Operatie ChattyGoblin een gokbedrijf uit de Filippijnen in gevaar bracht door zijn supportagenten aan te vallen. De aan India gelinkte groepen SideWinder en Donot Team bleven doelen op overheidsinstellingen in Zuid-Azië. De eerste doelde op de Chinese onderwijssector en de tweede bleef zijn beruchte yty-framework ontwikkelen, maar zette ook de commercieel verkrijgbare Remcos RAT in.
Naast het aanvallen van de werknemers van een Poolse organisatie in de defensiesector met een nep-jobaanbieding die Boeing als thema had, verlegde de aan Noord-Korea gelinkte groep Lazarus zijn focus van zijn gebruikelijke doel naar een Indiaas bedrijf in data management, met behulp van een lokaas met een Accenture-thema. ESET identificeerde ook een stuk Linux-malware dat in een van hun campagnes gebruikt werd. Overeenkomsten met deze nieuwe malware bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de 3CX supply chain-aanval zit.
Aan Rusland gelinkte APT-groepen waren vooral actief in Oekraïne en EU-landen. Sandworm wipers werden ingezet (waaronder een nieuwe, door ESET SwiftSlicer genoemd), en Gamaredon, Sednit en de Dukes die gebruikmaakten van spearphishing-e-mails en, in het geval van de Dukes, leidden tot het inbrengen van een implantaat door het rode team bekend als Brute Ratel. Ten slotte ontdekte ESET dat het eerder genoemde Zimbra e-mailplatform ook werd uitgebuit door Winter Vivern, een groep actief in Europa. Onderzoekers merkten ook een significante daling op in de activiteit van SturgeonPhisher, een groep die met spearphishing-e-mails doelt op overheidspersoneel van Centraal-Aziatische landen. Hierdoor is ESET ervan overtuigd dat de groep zich momenteel herstructureert.
Raadpleeg voor meer technische informatie het volledige “ESET APT Activity Report” op https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/. Volg ESET Research on Twitter voor de nieuwste info over ESET Research.
ESET APT-activiteitenrapporten bevatten slechts een fractie van de cyberbeveiligingsinformatie die aan klanten van ESET’s privé-APT-rapporten worden verstrekt. Onderzoekers van ESET schrijven diepgaande technische rapporten met frequente updates waarin de activiteiten van specifieke APT-groepen worden beschreven. Deze ESET APT PREMIUM -rapporten helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminelen en gerichte cyberaanvallen. Uitgebreide beschrijvingen van activiteiten die in dit document staan, werden daarom voorheen uitsluitend aan onze premiumklanten verstrekt. Meer informatie over ESET APT PREMIUM-rapporten die hoogwaardige strategische, bruikbare en tactische dreigingsinformatie in cyberbeveiliging leveren, is beschikbaar op de ESET Threat Intelligence page.
