ESET Research publiceert vandaag zijn nieuwste APT-activiteitenrapport, dat de bevindingen samenvat van geselecteerde Advanced Persistent Threat (APT)-groepen die tussen september en eind december 2022 door zijn onderzoekers zijn waargenomen, bestudeerd en geanalyseerd. Aan Rusland gelinkte APT-groepen bleven nauw betrokken bij operaties gericht op Oekraïne, waarbij vernietigende wipers en ransomware werden ingezet. Goblin Panda, een aan China gelinkte groep, begon de interesse van Mustang Panda in Europese landen te dupliceren. Aan Iran gelinkte groepen bleven ook op grote schaal opereren.
· ESET publiceert zijn nieuwste APT-activiteitenrapport (Advanced Persistent Threat), voor de periode september – eind december 2022 (Q3 2022).
· Aan Rusland gelinkte APT-groepen bleven nauw betrokken bij operaties gericht op Oekraïne, waarbij vernietigende wipers zoals NikoWiper werden ingezet. Sandworm lanceerde de wipers tezelfdertijd als de Russische strijdkrachten hun raketaanvallen richtten op energie-infrastructuur. Hoewel ESET niet kan bewijzen dat deze gebeurtenissen gecoördineerd waren, suggereert het wel dat Sandworm en Russische strijdkrachten gerelateerde doelen hebben.
· Russische APT-groepen vielen Oekraïne aan met ransomware (Prestige, RansomBoggs).
· Samen met Sandworm zetten andere Russische APT-groepen – Callisto, Gamaredon en Dukes –hun spear-phishing-campagnes tegen de Oost-Europese natie door.
· Aan China gelinkte groepen, vooral Goblin Panda, zijn begonnen met het dupliceren van de Mustang Panda’s aandacht voor Europese landen.
· Aan Iran gelinkte groepen bleven op grote schaal opereren.
BRATISLAVA, MONTREAL — 31 januari 2023 — ESET Research publiceert vandaag zijn nieuwste APT-activiteitenrapport, dat de bevindingen samenvat van geselecteerde Advanced Persistent Threat (APT)-groepen die tussen september en eind december 2022 door zijn onderzoekers zijn waargenomen, bestudeerd en geanalyseerd. Aan Rusland gelinkte APT-groepen bleven nauw betrokken bij operaties gericht op Oekraïne, waarbij vernietigende wipers en ransomware werden ingezet. Goblin Panda, een aan China gelinkte groep, begon de interesse van Mustang Panda in Europese landen te dupliceren. Aan Iran gelinkte groepen bleven ook op grote schaal opereren.
In Oekraïne ontdekte ESET de beruchte Sandworm-groep die een voorheen onbekende wiper gebruikte tegen een bedrijf in de energiesector. Door een natiestaat of door staat-gesponsorde actoren managen doorgaans APT-groepen; de beschreven aanval vond plaats in oktober, net toen ook de Russische strijdkrachten met raketaanvallen begonnen op de energie-infrastructuur. Hoewel ESET niet kan bewijzen dat deze acties gecoördineerd waren, suggereert het wel dat Sandworm en het Russische leger gerelateerde doelen hebben.
ESET heeft NikoWiper benoemd als de nieuwste wiper in eerder ontdekte reeksen. Deze wiper werd in Oekraïne, in oktober 2022, gebruikt tegen een bedrijf in de energiesector. NikoWiper is gebaseerd op SDelete, een hulpprogramma van Microsoft dat wordt gebruikt om bestanden veilig te verwijderen.
Naast malware die gegevens wist, ontdekte ESET Sandworm-aanvallen die ransomware als wiper gebruikten met hetzelfde einddoel: vernietigen van gegevens. In tegenstelling tot traditionele ransomware-aanvallen zijn Sandworm-operatoren niet van plan een decoderingssleutel te verstrekken
In oktober 2022 ontdekte ESET ook het gebruik van ransomware Prestige tegen logistieke bedrijven in Oekraïne en Polen. In november 2022 ontdekte ESET, in Oekraïne, RansomBoggs, nieuwe ransomware geschreven in .NET. Deze campagne werd door ESET Research gepubliceerd op zijn Twitter-account. Naast Sandworm zetten andere Russische APT-groepen zoals Callisto en Gamaredon hun spear-phishing-campagnes tegen Oekraïne veder om inloggegevens te stelen en implantaten te installeren.
ESET Research ontdekte ook MirrorFace, een spear phishing-campagne gericht op politieke entiteiten in Japan, en merkten een geleidelijke verschuiving op bij bepaalde, aan China gelinkte groepen zoals Goblin Panda, die de interesse van Mustang Panda in Europese landen begon te dupliceren. In november ontdekte ESET in een overheidsorganisatie van de Europese Unie TurboSlate, een nieuwe Goblin Panda-achterdeur. Mustang Panda bleef zich ook richten op Europese organisaties. In september hebben onderzoekers bij een Zwitserse organisatie uit de energie- en engineeringsector een Korplug-lader ontdekt die door Mustang Panda werd gebruikt.
Aan Iran gelinkte groepen gingen ook door met hun aanvallen. Naast Israëlische bedrijven begon POLONIUM zich te richten op buitenlandse filialen van Israëlische bedrijven en MuddyWater heeft waarschijnlijk een provider van managed security-diensten gecompromitteerd.
Aan Noord-Korea gelinkte groepen hebben oude exploits gebruikt om cryptocurrency-bedrijven en -uitwisselingen in verschillende delen van de wereld in gevaar te brengen. Interessant is dat het aantal talen dat Konni in zijn lokdocumenten gebruikt, uitgebreid werd met Engels, zodat het zich misschien niet meer uitsluitend richt op zijn gebruikelijke Russische en Zuid-Koreaanse doelen.
Voor meer technische informatie, lees het volledige rapport “ESET APT Activity Report” op www.welivesecurity.com/ Volg ook ESET Research op Twitter voor de nieuwste info.
ESET APT Activity-rapporten bevatten slechts een fractie van de cyberbeveiligingsinformatie die aan ESET-klanten wordt verstrekt. Het bedrijf biedt diepgaande technische rapporten en frequente activiteiten-updates met gedetailleerde informatie over specifieke APT-groepen in de ESET APT PREMIUM Reports. Deze helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen cyberaanvallen van criminelen en natiestaten. Meer informatie over ESET APT PREMIUM Reports, die strategische, bruikbare en tactische hoogwaardige informatie bieden over cyberbeveiligingsbedreigingen, is te vinden op de pagina ESET Threat Intelligence.
