De acordo com o relatório dos pesquisadores da ESET, os grupos APT ligados à Rússia continuaram a participar de operações visando especificamente a Ucrânia, usando limpadores de dados destrutivos e ransomware durante esse período. O Goblin Panda, um grupo afiliado à China, começou a copiar o interesse do Mustang Panda nos países europeus. Grupos ligados ao Irã também estão operando em alto nível. Juntamente com Sandworm, outros grupos APT russos, como Callisto, Gamaredon, continuaram seus ataques de phishing direcionados a cidadãos do Leste Europeu.
Os destaques do ESET APT Activity Report são os seguintes:
A ESET detectou que na Ucrânia o notório grupo Sandworm está usando um software de limpeza de dados anteriormente desconhecido contra uma empresa do setor de energia. As operações dos grupos APT são geralmente realizadas por participantes estaduais ou patrocinados pelo estado. O ataque ocorreu ao mesmo tempo em que as forças armadas russas lançaram ataques com mísseis contra a infraestrutura de energia em outubro. Embora a ESET não possa provar a coordenação entre esses ataques, ela prevê que Sandworm e os militares russos tenham o mesmo objetivo.
A ESET nomeou o NikoWiper como o mais recente de uma série de softwares de limpeza de dados descobertos anteriormente. Este software foi usado contra uma empresa que opera no setor de energia na Ucrânia em outubro de 2022. O NikoWiper é baseado no SDelete, um utilitário de linha de comando que a Microsoft usa para excluir arquivos com segurança. Além do malware de limpeza de dados, a ESET descobriu ataques Sandworm que usam ransomware como um limpador. Embora o ransomware seja usado nesses ataques, o objetivo principal é destruir os dados. Ao contrário dos ataques comuns de ransomware, os operadores do Sandworm não fornecem uma chave de descriptografia.
Em outubro de 2022, o ransomware Prestige foi detectado pela ESET como sendo usado contra empresas de logística na Ucrânia e na Polônia. Em novembro de 2022, um novo ransomware escrito em .NET chamado RansomBoggs foi descoberto na Ucrânia. A ESET Research tornou esta campanha pública em sua conta no Twitter. Juntamente com o Sandworm, outros grupos APT russos, como Callisto e Gamaredon, continuaram seus ataques de phishing direcionados à Ucrânia para roubar credenciais e implantar implantes.
Os pesquisadores da ESET também detectaram um ataque de phishing MirrorFace direcionado a políticos no Japão e notaram uma mudança de fase no direcionamento de alguns grupos ligados à China – o Goblin Panda começou a copiar o interesse do Mustang Panda nos países europeus. Em novembro, a ESET descobriu um novo backdoor Goblin Panda chamado TurboSlate em uma agência governamental na União Europeia. O Mustang Panda também continuou a visar organizações europeias. Em setembro, uma carregadeira Korplug usada pelo Mustang Panda foi identificada em uma empresa do setor de energia e engenharia da Suíça.
Grupos ligados ao Irã também continuaram seus ataques – POLONIUM começou a visar empresas israelenses, bem como suas subsidiárias estrangeiras, e MuddyWater provavelmente se infiltrou em um provedor de serviços de segurança ativo.
Grupos ligados à Coreia do Norte usaram vulnerabilidades de segurança antigas para se infiltrar em empresas e bolsas de criptomoedas em todo o mundo. Curiosamente, Konni expandiu os idiomas que usava em seus documentos de armadilhas, acrescentando o inglês à sua lista; o que pode significar que não está se concentrando em seus alvos russos e sul-coreanos habituais.
Seja o primeiro a comentar