ESET heeft zijn APT Activity Report uitgebracht, met een samenvatting van de activiteiten van een selectie Advanced Persistent Threat (APT)-groepen die, van oktober 2022 tot eind maart 2023, geobserveerd, onderzocht en geanalyseerd zijn door ESET-onderzoekers. Het rapport wordt op een halfjaarlijkse basis gepubliceerd. Gedurende deze periode richtten verschillende aan China gelinkte dreigingsactoren, zoals Ke3chang en Mustang Panda, zich op Europese organisaties.
• ESET publiceert zijn APT-activiteitenrapport voor Q4 2022 en Q1 2023. Daarin worden de activiteiten van geselecteerde Advanced Persistent Threat (APT)-groepen samengevat.
• Aan China gelinkte actoren Ke3chang en Mustang Panda hebben Europese organisaties als doel.
• Aan Noord-Korea gelinkte groepen bleven zich concentreren op Zuid-Koreaanse en aan Zuid-Korea gerelateerde organisaties.
• Lazarus richtte zich op werknemers van een Poolse aannemer in de defensiesector met een nepaanbieding voor een baan met Boeing als thema en verlegde ook de focus van zijn gebruikelijke doelwitten naar een Indiaas bedrijf in data management.
• Overeenkomsten met de nieuw ontdekte Linux-malware van Lazarus bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de 3CX-aanval op de toeleveringsketen zit.
• Aan Rusland gelinkte APT-groepen waren vooral actief in Oekraïne en EU-landen.
• Door Sandworm ingezette wipers (waaronder een nieuwe, door ESET SwiftSlicer genoemd).
• De informatie in dit rapport is grotendeels gebaseerd op bedrijfseigen ESET-telemetriegegevens en is door ESET-onderzoekers geverifieerd.
BRATISLAVA — 9 mei 2023 — ESET heeft zijn APT Activity Report uitgebracht, met een samenvatting van de activiteiten van een selectie Advanced Persistent Threat (APT)-groepen die, van oktober 2022 tot eind maart 2023, geobserveerd, onderzocht en geanalyseerd zijn door ESET-onderzoekers. Het rapport wordt op een halfjaarlijkse basis gepubliceerd. Gedurende deze periode richtten verschillende aan China gelinkte dreigingsactoren, zoals Ke3chang en Mustang Panda, zich op Europese organisaties. In Israël heeft de op Iran gerichte groep OilRig een nieuwe aangepaste backdoor ingezet. Aan Noord-Korea gelinkte groepen bleven zich concentreren op Zuid-Koreaanse en Zuid-Korea gerelateerde organisaties. Op Rusland afgestemde APT-groepen waren vooral actief in Oekraïne en EU-landen, waarbij Sandworm wipers inzette.
Schadelijke activiteiten opgenomen in dit ESET APT-activiteitenrapport werden door ESET- technologie gedetecteerd. “ESET-producten beschermen de systemen van onze klanten tegen die kwaadaardige activiteiten. Deze informatie is grotendeels gebaseerd op ESET-telemetriegegevens en geverifieerd door ESET-onderzoekers”, zegt Jean-Ian Boutin, hoofd ESET Threat Research.
De aan China gelinkte Ke3chang-groep gebruikte tactieken zoals een nieuwe Ketrican-variant, en Mustang Panda gebruikte twee nieuwe backdoors. MirrorFace richtte zich op Japan en implementeerde nieuwe technieken voor het afleveren van malware, terwijl Operatie ChattyGoblin een gokbedrijf uit de Filippijnen in gevaar bracht door zijn supportagenten aan te vallen. De aan India gelinkte groepen SideWinder en Donot Team bleven doelen op overheidsinstellingen in d-Azië. De eerste doelde op de Chinese onderwijssector en de tweede bleef zijn beruchte yty-framework ontwikkelen, maar zette ook de commercieel verkrijgbare Remcos RAT in.
Naast het aanvallen van de werknemers van een Poolse organisatie in de defensiesector met een nep-jobaanbieding die Boeing als thema had, verlegde de aan Noord-Korea gelinkte groep Lazarus zijn focus van zijn gebruikelijke doel naar een Indiaas bedrijf in data management, met behulp van een lokaas met een Accenture-thema. ESET identificeerde ook een stuk Linux-malware dat in een van mpagnes gebruikt werd. Overeenkomsten met deze nieuwe malware bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de 3CX supply chain-aanval zit.
Aan Rusland gelinkte APT-groepen waren vooral actief in Oekraïne en EU-landen. Sandworm wipers werden ingezet (waaronder een nieuwe, door ESET SwiftSlicer genoemd), en Gamaredon, Sednit en de Dukes die gebruikmaakten van spearphishing-e-mails en, in het geval van de Dukes, leidden tot het inbrengen van een implantaat door het rode team bekend als Brute Ratel. Ten slotte ontdekte ESET dat het eerder genoemde Zimbra e-mailplatform ook werd uitgebuit door Winter Vivern, een groep actief in Europa. Onderzoekers merkten ook een significante daling op in de activiteit van SturgeonPhisher, een groep die met spearphishing-e-mails doelt op overheidspersoneel van Centraal-Aziatische landen. Hierdoor is ESET ervan overtuigd dat de groep zich momenteel herstructureert.
Raadpleeg voor meer technische informatie het volledige “ESET APT Activity Report” op https://www.welivesecurity.com/2023/05/09/eset-apt-activity-report-q42022-q12023/. Volg ESET Research on Twitter voor de nieuwste info over ESET Research.
ESET APT-activiteitenrapporten bevatten slechts een fractie van de cyberbeveiligingsinformatie die aan klanten van ESET’s privé-APT-rapporten worden verstrekt. Onderzoekers van ESET schrijven diepgaande technische rapporten met frequente updates waarin de activiteiten van specifieke APT-groepen worden beschreven. Deze ESET APT PREMIUM -rapporten helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminelen en gerichte cyberaanvallen. Uitgebreide beschrijvingen van activiteiten die in dit document staan, werden daarom voorheen uitsluitend aan onze premiumklanten verstrekt. Meer informatie over ESET APT PREMIUM-rapporten die hoogwaardige strategische, bruikbare en tactische dreigingsinformatie in cyberbeveiliging leveren, is beschikbaar op de ESET Threat Intelligence page.