Remiantis ESET tyrėjų ataskaita, su Rusija susijusios APT grupės ir toliau dalyvavo operacijose, skirtose konkrečiai Ukrainai, naudodamos destruktyvius duomenų valytuvus ir išpirkos programas. „Goblin Panda“, su Kinija susijusi grupė, pradėjo kopijuoti „Mustang Panda“ susidomėjimą Europos šalimis. Su Iranu susijusios grupės taip pat veikia aukštu lygiu. Kartu su „Sandworm“ ir kitomis Rusijos APT grupėmis, tokiomis kaip „Callisto“, „Gamaredon“ tęsė sukčiavimo atakas, nukreiptas prieš Rytų Europos piliečius.
Pagrindiniai ESET APT veiklos ataskaitos akcentai yra šie:
ESET aptiko, kad Ukrainoje liūdnai pagarsėjusi grupė „Sandworm“ naudoja anksčiau nežinomą duomenų valytuvą prieš energetikos sektoriaus įmonę. APT grupių operacijas dažniausiai vykdo valstybės ar valstybės remiami dalyviai. Ataka surengta tuo pat metu, kai Rusijos ginkluotosios pajėgos spalį pradėjo raketų atakas, nukreiptas prieš energetikos infrastruktūrą. Nors ESET negali įrodyti šių atakų koordinavimo, ji numato, kad Sandworm ir Rusijos kariuomenė turi tą patį tikslą.
ESET pavadino NikoWiper naujausia duomenų valytuvų programine įranga, kuri buvo atrasta anksčiau. Ši programinė įranga buvo panaudota prieš Ukrainos energetikos sektoriuje veikiančią įmonę 2022 m. spalį. NikoWiper yra pagrįsta SDelete – komandų eilutės programa, kurią „Microsoft“ naudoja failams saugiai ištrinti. Be duomenų naikinimo kenkėjiškų programų, ESET atrado „Sandworm“ atakas, kurios kaip valytuvą naudoja išpirkos reikalaujančias programas. Nors šiose atakose naudojama išpirkos reikalaujanti programinė įranga, pagrindinis tikslas yra sunaikinti duomenis. Skirtingai nuo įprastų „ransomware“ atakų, „Sandworm“ operatoriai nepateikia iššifravimo rakto.
2022 m. spalio mėn. ESET aptiko Prestige išpirkos reikalaujančią programinę įrangą kaip naudojamą prieš logistikos įmones Ukrainoje ir Lenkijoje. 2022 m. lapkritį Ukrainoje buvo aptikta nauja išpirkos reikalaujanti programa, parašyta .NET, pavadinimu RansomBoggs. ESET Research paskelbė šią kampaniją savo Twitter paskyroje. Kartu su Sandworm kitos Rusijos APT grupės, tokios kaip Callisto ir Gamaredon, tęsė Ukrainos tikslines sukčiavimo atakas, siekdamos pavogti įgaliojimus ir implantuoti implantus.
ESET tyrėjai taip pat aptiko „MirrorFace“ sukčiavimo ataką, nukreiptą į Japonijos politikus, ir pastebėjo fazės poslinkį, kai taikosi į kai kurias su Kinija susijusias grupes – „Goblin Panda“ pradėjo kopijuoti „Mustang Panda“ susidomėjimą Europos šalimis. Lapkričio mėn. ESET vienoje Europos Sąjungos vyriausybinėje agentūroje atrado naują „Goblin Panda“ užpakalinį duris, vadinamą „TurboSlate“. „Mustang Panda“ taip pat toliau taikė Europos organizacijas. Rugsėjo mėnesį Šveicarijos energetikos ir inžinerijos sektoriaus įmonėje buvo identifikuotas Mustang Panda naudotas Korplug krautuvas.
Su Iranu susijusios grupuotės taip pat tęsė atakas – POLONIUM ėmė nusitaikyti į Izraelio įmones ir jų dukterines įmones užsienyje, o MuddyWater greičiausiai įsiskverbė į aktyvų saugumo paslaugų teikėją.
Su Šiaurės Korėja susijusios grupės panaudojo senas saugumo spragas, kad įsiskverbtų į kriptovaliutų bendroves ir biržas visame pasaulyje. Įdomu tai, kad Konni išplėtė kalbas, kurias vartojo savo spąstų dokumentuose, įtraukdamas į savo sąrašą anglų kalbą; o tai gali reikšti, kad ji nesikoncentruoja į įprastus Rusijos ir Pietų Korėjos taikinius.
Būkite pirmas, kuris komentuoja