ESET: Russische aanvallers richten zich nog altijd voornamelijk op Oekraïne

Dit meldt ESET in de nieuwste editie van zijn APT Activity Report, waarin het activiteiten beschrijft van geselecteerde APT-groepen van april 2023 tot september 2023. De aan Rusland gelieerde Sednit en Sandworm, de aan Noord-Korea gelieerde Konni en de geografisch niet aan Rusland gelieerde Winter Vivern en SturgeonPhisher grepen misbruikten de afgelopen periode kwetsbaarheden in WinRAR (Sednit, SturgeonPhisher en Konni), Roundcube (Sednit en Winter Vivern), Zimbra (Winter Vivern) en Outlook voor Windows (Sednit) voor het aanvallen van diverse overheidsorganisaties. Het gaat daarbij om overheden in Oekraïne, maar ook in Europa en Centraal-Azië.

Oekraïne blijft belangrijkste doelwit van Rusland-groepen

Het belangrijkste doelwit van de Rusland-groepen bleef Oekraïne, waar we nieuwe versies ontdekten van de bekende Wiper Malware RoarBat en NikoWiper en een nieuwe Wiper met de naam SharpNikoWiper, allemaal ingezet door Sandworm. Interessant is dat, terwijl andere groepen - zoals Gamaredon, GREF en SturgeonPhisher - zich richten op Telegram-gebruikers om te proberen informatie te exfiltreren, of op zijn minst wat Telegram-gerelateerde metadata, Sandworm deze service actief gebruikt om promotie te maken voor hun cybersabotage operaties.

De meest actieve groep in Oekraïne bleef echter Gamaredon, die zijn mogelijkheden om gegevens te verzamelen aanzienlijk uitbreidde door bestaande tools opnieuw te ontwikkelen en nieuwe in te zetten.

Noord-Koreaanse groepen bleven zich richten op Japan, Zuid-Korea en op Zuid-Korea gerichte entiteiten. Daarbij maakten ze gebruik van zorgvuldig opgestelde spear phishing e-mails. De meest actieve Lazarus-campagne dat werd waargenomen was Operation DreamJob, waarbij doelwitten werden gelokt met nepbanen voor lucratieve functies. Deze groep toonde consequent aan malware te kunnen maken voor alle belangrijke desktopplatforms.

Chinese aanvallers breiden focus uit naar overheidsorganisaties

Wat betreft de dreigingsactoren die gelieerd zijn aan China, maakte GALLIUM waarschijnlijk gebruik van zwakke plekken in Microsoft Exchange-servers of IIS-servers, waardoor het doelwit werd uitgebreid van telecommunicatiebedrijven naar overheidsorganisaties over de hele wereld; MirrorFace maakte waarschijnlijk gebruik van zwakke plekken in de online opslagdienst Proself; en TA410 maakte waarschijnlijk gebruik van zwakke plekken in de Adobe ColdFusion-toepassingsserver.

ESET-onderzoekers ontdekten de activiteiten van drie voorheen niet-geïdentificeerde, aan China gelieerde groepen: DigitalRecyclers, die herhaaldelijk een overheidsorganisatie in de EU in gevaar brachten; TheWizards, die adversary-in-the-middle-aanvallen uitvoerden; en PerplexedGoblin, die een andere overheidsorganisatie in de EU als doelwit had.

Aan Iran en het Midden-Oosten gelieerde groepen richten peilen op Israël

Ook aan Iran en het Midden-Oosten gelieerde groepen bleven op grote schaal actief. Zij richten zich voornamelijk op spionage en diefstal van gegevens van organisaties in Israël. Met name de aan Iran gelieerde MuddyWater richtte zich ook op een niet-geïdentificeerde entiteit in Saoedi-Arabië, waarbij een payload werd ingezet die suggereert dat deze dreigingsactor mogelijk fungeert als toegangspoort voor een meer geavanceerde groep.

Het volledige ESET APT Activity Report is hier beschikbaar. ESET APT Activity Reports bevatten slechts een deel van de gegevens over cyberbeveiliging die aan klanten van ESET's privé APT-rapporten worden verstrekt. ESET deelt in ESET APT Reports PREMIUM meer informatie over de activiteiten van specifieke APT-groepen.