Το Ερευνητικό Κέντρο της ESET δημοσίευσε την τελευταία Έκθεση Δραστηριότητας APT (APT Activity Report), η οποία παρουσιάζει τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Απρίλιο του 2024 έως το τέλος Σεπτεμβρίου του 2024. H ESET παρατήρησε ότι η ομάδα MirrorFace, η οποία σχετίζεται με την Κίνα, έχει επεκτείνει τις δραστηριότητές της, δηλαδή επιτίθεται σε περισσότερους στόχους ή νέους τύπους στόχων. Η συγκεκριμένη ομάδα, η οποία συνήθως επικεντρώνεται σε επιθέσεις κατά οργανισμών στην Ιαπωνία, έχει επεκτείνει τις δραστηριότητές της και στοχεύει πλέον για πρώτη φορά και μια διπλωματική οργάνωση στην Ευρωπαϊκή Ένωση. Ωστόσο, εξακολουθεί να θεωρεί πιο σημαντικούς τους στόχους της στην Ιαπωνία, που παραμένουν η κύρια προτεραιότητά της.
Επιπλέον, οι ομάδες APT που συνδέονται με την Κίνα βασίζονται όλο και περισσότερο στο SoftEther VPN ανοιχτού κώδικα για να αποκτήσουν πρόσβαση στα δίκτυα των θυμάτων. Οι ερευνητές της ESET παρατήρησαν, επίσης, ενδείξεις ότι οι ομάδες που συνδέονται με το Ιράν ενδέχεται να αξιοποιούν τις δυνατότητες στον κυβερνοχώρο για να υποστηρίξουν την κατασκοπεία διπλωματικών αποστολών και, ενδεχομένως, κυβερνοεπιθέσεις.
“Σχετικά με τις ομάδες απειλών που συνδέονται με την Κίνα, εντοπίσαμε εκτεταμένη χρήση του SoftEther VPN από την ομάδα Flax Typhoon, παρατηρήσαμε την ομάδα Webworm να χρησιμοποιεί την SoftEther VPN Bridge σε μηχανήματα που ανήκουν σε κυβερνητικούς οργανισμούς στην ΕΕ και παρατηρήσαμε την ομάδα GALLIUM να αναπτύσσει διακομιστές SoftEther VPN σε τηλεπικοινωνιακούς φορείς στην Αφρική”, λέει ο Jean-Ian Boutin, Διευθυντής του τμήματος Threat Research της ESET. “Για πρώτη φορά, παρατηρήσαμε ότι η ομάδα MirrorFace είχε ως στόχο διπλωματικό οργανισμό εντός της ΕΕ, μια περιοχή που παραμένει σημείο εστίασης για διάφορους φορείς απειλών που πρόσκεινται στην Κίνα, τη Βόρεια Κορέα και τη Ρωσία. Πολλές από αυτές τις ομάδες επικεντρώνονται ιδιαίτερα σε κρατικούς φορείς και τον αμυντικό τομέα», πρόσθεσε.
Από την άλλη, οι ομάδες που συνδέονται με το Ιράν, έθεσαν σε κίνδυνο αρκετές εταιρείες χρηματοπιστωτικών υπηρεσιών στην Αφρική – μια ήπειρο γεωπολιτικά σημαντική για το Ιράν, διεξήγαγαν κυβερνοκατασκοπεία κατά του Ιράκ και του Αζερμπαϊτζάν, γειτονικών χωρών με τις οποίες το Ιράν έχει σύνθετες σχέσεις, και αύξησαν τη συμμετοχή τους στις επιθέσεις στον τομέα των μεταφορών του Ισραήλ. Παρά τη φαινομενικά στενή γεωγραφική στόχευση, οι ομάδες που πρόσκεινται στο Ιράν συνέχισαν να έχουν στο στόχαστρο διπλωματικές αποστολές στη Γαλλία και εκπαιδευτικούς οργανισμούς στις Ηνωμένες Πολιτείες.
Οι απειλητικοί φορείς που συνδέονται με τη Βόρεια Κορέα συνέχισαν την προσπάθειά τους για κλοπή κεφαλαίων – κρυπτονομίσματα αλλά και παραδοσιακά νομίσματα. Παρατηρήσαμε ότι αυτές οι ομάδες συνέχισαν τις επιθέσεις τους σε εταιρείες άμυνας και αεροδιαστημικής στην Ευρώπη και τις ΗΠΑ, καθώς και ότι έβαλαν στο στόχαστρο προγραμματιστές κρυπτονομισμάτων, δεξαμενές σκέψης και ΜΚΟ. Μια τέτοια ομάδα, η Kimsuky, άρχισε να κάνει κακόβουλη χρήση των αρχείων της Microsoft Management Console, τα οποία χρησιμοποιούνται συνήθως από διαχειριστές συστημάτων, αλλά μπορούν να εκτελέσουν οποιαδήποτε εντολή των Windows. Επιπλέον, διάφορες ομάδες που συνδέονται με τη Βόρεια Κορέα έκαναν συχνά κατάχρηση δημοφιλών υπηρεσιών που βασίζονται στο cloud.
Τέλος, το Ερευνητικό Κέντρο της ESET εντόπισε ομάδες κυβερνοκατασκοπείας που συνδέονται με τη Ρωσία να βάζουν στο στόχαστρό τους διακομιστές webmail όπως οι Roundcube και Zimbra, συνήθως με spearphishing emails που ενεργοποιούν γνωστές ευπάθειες XSS. Εκτός από το Sednit που έχει στόχο κρατικούς, εκπαιδευτικούς και αμυντικούς φορείς διεθνώς, η ESET εντόπισε μια ακόμα ομάδα που συνδέεται με τη Ρωσία, την GreenCube, η οποία κλέβει μηνύματα ηλεκτρονικού ταχυδρομείου μέσω ευπαθειών XSS στο Roundcube. Άλλες ομάδες προσκείμενες στη Ρωσία συνέχισαν να επικεντρώνονται στην Ουκρανία, με την Gamaredon να αναπτύσσει εκτεταμένες εκστρατείες spearphishing, ενώ χρησιμοποιεί εκ νέου τα εργαλεία της κάνοντας κατάχρηση των εφαρμογών ανταλλαγής μηνυμάτων Telegram και Signal. Επιπλέον, η ομάδα Sandworm χρησιμοποίησε τη νέα της κερκόπορτα για τα Windows με την ονομασία WrongSens. Η ESET ανέλυσε επίσης τη δημόσια παραβίαση και διαρροή δεδομένων από την Πολωνική Υπηρεσία Αντιντόπινγκ, η οποία πιθανότατα παραβιάστηκε από έναν αρχικό διαμεσολαβητή πρόσβασης, ο οποίος στη συνέχεια μοιράστηκε την πρόσβαση με την ομάδα APT FrostyNeighbor που συνδέεται με τη Λευκορωσία, μια ομάδα που βρίσκεται πίσω από εκστρατείες παραπληροφόρησης κατά του ΝΑΤΟ.
Στην Ασία, η ESET παρατήρησε ότι οι εκστρατείες συνέχισαν να επικεντρώνονται κυρίως σε κρατικούς οργανισμούς. Ωστόσο, η έρευνα παρατήρησε επίσης μια αυξημένη έμφαση στον τομέα της εκπαίδευσης, που είχε στόχο ερευνητές και ακαδημαϊκούς στην κορεατική χερσόνησο και τη Νοτιοανατολική Ασία. Αυτή η στροφή καθοδηγήθηκε από φορείς απειλών που ευθυγραμμίζονται με τα συμφέροντα της Κίνας και της Βόρειας Κορέας. Η Lazarus, μία από τις ομάδες που συνδέονται με τη Βόρεια Κορέα, συνέχισε να επιτίθεται σε οντότητες στο χρηματοπιστωτικό και τεχνολογικό τομέα διεθνώς. Στη Μέση Ανατολή, αρκετές ομάδες APT που συνδέονται με το Ιράν συνέχισαν να επιτίθενται σε κρατικούς οργανισμούς, με το Ισραήλ να είναι η χώρα που επλήγη περισσότερο.
Τις τελευταίες δύο δεκαετίες, η Αφρική έχει γίνει ένας σημαντικός γεωπολιτικός εταίρος για την Κίνα και έχουμε δει ομάδες που συνδέονται με την Κίνα να επεκτείνουν τις δραστηριότητές τους στην ήπειρο αυτή. Στην Ουκρανία, οι ομάδες που συνδέονται με τη Ρωσία συνέχισαν να είναι οι πιο δραστήριες, επηρεάζοντας σε μεγάλο βαθμό κρατικούς φορείς, τον αμυντικό τομέα και βασικές υπηρεσίες όπως η ενέργεια, η ύδρευση και η παροχή θερμότητας.
Οι επιχειρήσεις που επισημάνθηκαν είναι αντιπροσωπευτικές του ευρύτερου τοπίου των απειλών που διερεύνησε η ESET κατά τη διάρκεια αυτής της περιόδου. Οι πληροφορίες που παρουσιάζονται στην έκθεση βασίζονται κυρίως σε ιδιόκτητα δεδομένα τηλεμετρίας της ESET. Αυτές οι αναλύσεις πληροφοριών για απειλές, γνωστές ως ESET APT Reports PREMIUM, βοηθούν τους οργανισμούς που έχουν αναλάβει την προστασία των πολιτών, των κρίσιμων εθνικών υποδομών και των περιουσιακών στοιχείων υψηλής αξίας από κυβερνοεπιθέσεις που κατευθύνονται από εγκληματίες και έθνη-κράτη. Περισσότερες πληροφορίες σχετικά με τις ESET APT Reports PREMIUM και την παροχή υψηλής ποιότητας, στρατηγικών, αξιοποιήσιμων και τακτικών πληροφοριών σχετικά με τις απειλές στον κυβερνοχώρο είναι διαθέσιμες στη σελίδα ESET Threat Intelligence.
Μπορείτε να διαβάσετε την Έκθεση Δραστηριότητας APT στο διεθνούς φήμης blog της ESET, το WeLiveSecurity. Ακολουθήστε το λογαριασμό της ομάδας ερευνητών της ESET στο Twitter (σήμερα γνωστό ως X) για τις τελευταίες εξελίξεις.
