Nieuwe ESET APT-rapport: uitgebreide targeting door pro-Chinese groepen – Iraanse diplomatieke spionage breidt uit
“Voor aan China gelinkte dreigingsgroepen, ontdekten we een uitgebreid gebruik van de SoftEther VPN door Flax Typhoon, zagen we Webworm overschakelen van zijn backdoor naar het gebruik van de SoftEther VPN Bridge op machines van overheidsorganisaties in de EU, en zagen we GALLIUM SoftEther VPN-servers inzetten bij telecom bedrijven in Afrika,” zegt Jean-Ian Boutin, directeur van Threat Research bij ESET. “Voor het eerst nam MirrorFace als doel een diplomatieke organisatie binnen de EU, een regio die een brandpunt blijft voor meerdere aan China, Noord-Korea en Rusland gelinkte dreigingsactoren. Veel van deze groepen richten zich op overheidsinstanties en de defensiesector,” vervolgt hij.
Aan Iran gelinkte groepen compromitteerden verschillende financiële dienstverleners in Afrika, een continent met geopolitieke belangen voor dat land. Ze voerden cyberspionage uit tegen Irak en Azerbeidzjan, buurlanden waarmee Iran complexe relaties heeft, en vergrootten hun aandacht voor de transportsector in Israël. Ondanks deze specifieke geografische doelwitten, behielden aan Iran gelinkte groepen een wereldwijde focus, en gingen ze door met het vervolgen van diplomatieke gezanten in Frankrijk en onderwijsorganisaties in de Verenigde Staten.
Aan Noord-Korea gelinkte dreigingsactoren zetten hun jacht verder op gestolen fondsen, zowel traditionele als cryptovaluta. ESET Research zag ook hun aanvallen op defensie- en ruimtevaartbedrijven in Europa en de VS, op cryptovaluta-ontwikkelaars, denktanks en NGO’s. Kimsuky, een van die groepen, misbruikte Microsoft Management Console-bestanden die doorgaans door systeembeheerders worden gebruikt en die elke Windows-opdracht kunnen uitvoeren. Meerdere aan Noord-Korea gelinkte groepen misbruikten vaak populaire cloudgebaseerde diensten.
ESET ontdekte ook cyberspionagegroepen die zich vaak richten op webmailservers zoals Roundcube en Zimbra, meestal met spearphishing-e-mails die bekende XSS-kwetsbaarheden activeren. Naast Sednit, dat zich richt op overheids-, academische en wereldwijd defensie gerelateerde entiteiten, identificeerde ESET GreenCube, ook een aan Rusland gelinkte groep, die e-mailberichten steelt via XSS-kwetsbaarheden in Roundcube. Andere aan Rusland gelinkte groepen bleven zich richten op Oekraïne, waarbij Gamaredon grote spearphishing-campagnes uitvoerde. Die herwerkte zijn tools met behulp van misbruikte Telegram- en Signal-berichtenapps. Sandworm gebruikte ook zijn nieuwe Windows-backdoor WrongSens genaamd. Verder analyseerde ESET ook het hack-and-leak van gegevens van het Poolse Antidopingagentschap, wellicht gecompromitteerd door een toegangsmakelaar die nadien de toegang deelde met FrostyNeighbor, de aan Wit-Rusland gelinkt APT-groep, een entiteit achter cyber gestuurde desinformatiecampagnes die kritisch waren over de NAVO.
In Azië zag ESET dat campagnes zich vooral bleven richten op overheidsorganisaties. Onderzoek merkte ook een grotere aandacht op voor de onderwijssector, vooral gericht op onderzoekers en academici in het Koreaanse schiereiland en Zuidoost-Azië. Deze verschuiving was aangestuurd door dreigingsactoren gelinkt aan China en Noord-Korea. Lazarus, een van de aan Noord-Korea gelinkte groepen, ging verder met aanvallen over de hele wereld in de financiële en technologische sectoren. In het Midden-Oosten bleven meerdere aan Iran gelinkte groepen overheidsorganisaties aanvallen. Israël was het zwaarst getroffen land.
De afgelopen twee decennia werd Afrika een belangrijke geopolitieke partner voor China en aan China gelinkte groepen hebben hun activiteiten op dat continent uitgebreid. In Oekraïne bleven aan Rusland gelinkte groepen bijzonder actief en hadden ze een grote impact op overheidsinstanties, de defensiesector en essentiële diensten zoals energie, water en warmtevoorziening.
De bovenvermelde acties zijn representatief voor het bredere landschap van bedreigingen die ESET in deze periode onderzocht. ESET-producten beschermen de systemen van klanten tegen de kwaadaardige activiteiten die in dit rapport beschreven zijn. Deze informatie is vooral gebaseerd op gegevens van de ESET telemetrie. De analyses van bedreigingsinformatie, bekend als ESET APT Reports PREMIUM, helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminele en door natiestaten aangestuurde cyberaanvallen. Meer informatie over ESET APT Reports PREMIUM met de hoogwaardige, strategische, bruikbare en tactische cybersecurity-bedreigingsinformatie is beschikbaar op de ESET Threat Intelligence-pagina.
Het volledige ESET APT Activity Report is te lezen op www.welivesecurity.com. Volg ook ESET Research on Twitter (today known as X) voor het laatste nieuws van ESET Research.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.