بر اساس گزارش محققان ESET، گروههای APT مرتبط با روسیه همچنان در عملیاتهایی که به طور خاص اوکراین را هدف قرار میدهند، با استفاده از پاککنهای مخرب داده و باجافزار در این دوره شرکت میکنند. Goblin Panda، یک گروه وابسته به چین، شروع به کپی برداری از علاقه موستانگ پاندا به کشورهای اروپایی کرد. گروه های مرتبط با ایران نیز در سطح بالایی فعالیت می کنند. همراه با Sandworm، دیگر گروههای APT روسی مانند Callisto، Gamaredon به حملات فیشینگ خود که شهروندان اروپای شرقی را هدف قرار میدادند، ادامه دادند.
نکات برجسته گزارش فعالیت ESET APT به شرح زیر است:
ESET تشخیص داده است که در اوکراین گروه بدنام Sandworm از نرمافزار پاککن اطلاعات ناشناخته قبلی علیه یک شرکت بخش انرژی استفاده میکند. عملیات گروه های APT معمولاً توسط شرکت کنندگان ایالتی یا تحت حمایت دولتی انجام می شود. این حمله همزمان با حمله موشکی نیروهای مسلح روسیه به زیرساخت های انرژی در ماه اکتبر انجام شد. در حالی که ESET نمی تواند هماهنگی بین این حملات را اثبات کند، Sandworm و ارتش روسیه را در نظر می گیرد که هدف یکسانی دارند.
ESET NikoWiper را جدیدترین نرمافزار از سری نرمافزار پاککن دادهای که قبلاً کشف شده بود، نامگذاری کرده است. این نرم افزار در اکتبر 2022 علیه یک شرکت فعال در بخش انرژی در اوکراین استفاده شد. NikoWiper مبتنی بر SDelete است، یک ابزار خط فرمان که مایکروسافت از آن برای حذف امن فایل ها استفاده می کند. علاوه بر بدافزار پاککننده دادهها، ESET حملات Sandworm را کشف کرد که از باجافزار به عنوان پاککننده استفاده میکنند. اگرچه در این حملات از باج افزار استفاده می شود، اما هدف اصلی از بین بردن داده ها است. برخلاف حملات رایج باج افزار، اپراتورهای Sandworm کلید رمزگشایی ارائه نمی دهند.
در اکتبر 2022، باجافزار Prestige توسط ESET شناسایی شد که علیه شرکتهای لجستیک در اوکراین و لهستان استفاده میشود. در نوامبر 2022، باج افزار جدیدی که با دات نت نوشته شده بود، در اوکراین به نام RansomBoggs کشف شد. ESET Research این کمپین را در حساب توییتر خود عمومی کرد. همراه با Sandworm، دیگر گروههای APT روسی مانند Callisto و Gamaredon به حملات فیشینگ هدفمند اوکراینی خود برای سرقت مدارک و کاشت ایمپلنت ادامه دادند.
محققان ESET همچنین یک حمله فیشینگ MirrorFace را شناسایی کردند که سیاستمداران ژاپنی را هدف قرار میداد و متوجه یک تغییر فاز در هدف قرار دادن برخی گروههای مرتبط با چین شدند - Goblin Panda شروع به کپی کردن علاقه پاندا موستانگ به کشورهای اروپایی کرده است. در ماه نوامبر، ESET یک درپشتی جدید Goblin Panda را که TurboSlate نامیده میشود، در یک آژانس دولتی در اتحادیه اروپا کشف کرد. موستانگ پاندا نیز به هدف قرار دادن سازمان های اروپایی ادامه داد. در ماه سپتامبر، یک لودر Korplug مورد استفاده موستانگ پاندا در یک شرکت در بخش انرژی و مهندسی سوئیس شناسایی شد.
گروههای مرتبط با ایران نیز به حملات خود ادامه دادند - POLONIUM شروع به هدف قرار دادن شرکتهای اسرائیلی و همچنین شرکتهای تابعه خارجی آنها کرد و MuddyWater احتمالاً به یک ارائهدهنده خدمات امنیتی فعال نفوذ کرده است.
گروه های مرتبط با کره شمالی از آسیب پذیری های امنیتی قدیمی برای نفوذ به شرکت ها و صرافی های ارزهای دیجیتال در سراسر جهان استفاده کرده اند. جالب اینجاست که کونی زبان هایی را که در اسناد تله استفاده می کرد گسترش داد و انگلیسی را به لیست خود اضافه کرد. که می تواند به این معنی باشد که بر روی اهداف معمول روسیه و کره جنوبی تمرکز نمی کند.
اولین نفری باشید که نظر می دهید