حملات سایبری تحت حمایت دولت کند نمی شوند

بر اساس گزارش محققان ESET، گروه‌های APT مرتبط با روسیه همچنان در عملیات‌هایی که به طور خاص اوکراین را هدف قرار می‌دهند، با استفاده از پاک‌کن‌های مخرب داده و باج‌افزار در این دوره شرکت می‌کنند. Goblin Panda، یک گروه وابسته به چین، شروع به کپی برداری از علاقه موستانگ پاندا به کشورهای اروپایی کرد. گروه های مرتبط با ایران نیز در سطح بالایی فعالیت می کنند. همراه با Sandworm، دیگر گروه‌های APT روسی مانند Callisto، Gamaredon به حملات فیشینگ خود که شهروندان اروپای شرقی را هدف قرار می‌دادند، ادامه دادند.

نکات برجسته گزارش فعالیت ESET APT به شرح زیر است:

ESET تشخیص داده است که در اوکراین گروه بدنام Sandworm از نرم‌افزار پاک‌کن اطلاعات ناشناخته قبلی علیه یک شرکت بخش انرژی استفاده می‌کند. عملیات گروه های APT معمولاً توسط شرکت کنندگان ایالتی یا تحت حمایت دولتی انجام می شود. این حمله همزمان با حمله موشکی نیروهای مسلح روسیه به زیرساخت های انرژی در ماه اکتبر انجام شد. در حالی که ESET نمی تواند هماهنگی بین این حملات را اثبات کند، Sandworm و ارتش روسیه را در نظر می گیرد که هدف یکسانی دارند.

ESET NikoWiper را جدیدترین نرم‌افزار از سری نرم‌افزار پاک‌کن داده‌ای که قبلاً کشف شده بود، نامگذاری کرده است. این نرم افزار در اکتبر 2022 علیه یک شرکت فعال در بخش انرژی در اوکراین استفاده شد. NikoWiper مبتنی بر SDelete است، یک ابزار خط فرمان که مایکروسافت از آن برای حذف امن فایل ها استفاده می کند. علاوه بر بدافزار پاک‌کننده داده‌ها، ESET حملات Sandworm را کشف کرد که از باج‌افزار به عنوان پاک‌کننده استفاده می‌کنند. اگرچه در این حملات از باج افزار استفاده می شود، اما هدف اصلی از بین بردن داده ها است. برخلاف حملات رایج باج افزار، اپراتورهای Sandworm کلید رمزگشایی ارائه نمی دهند.

در اکتبر 2022، باج‌افزار Prestige توسط ESET شناسایی شد که علیه شرکت‌های لجستیک در اوکراین و لهستان استفاده می‌شود. در نوامبر 2022، باج افزار جدیدی که با دات نت نوشته شده بود، در اوکراین به نام RansomBoggs کشف شد. ESET Research این کمپین را در حساب توییتر خود عمومی کرد. همراه با Sandworm، دیگر گروه‌های APT روسی مانند Callisto و Gamaredon به حملات فیشینگ هدفمند اوکراینی خود برای سرقت مدارک و کاشت ایمپلنت ادامه دادند.

محققان ESET همچنین یک حمله فیشینگ MirrorFace را شناسایی کردند که سیاستمداران ژاپنی را هدف قرار می‌داد و متوجه یک تغییر فاز در هدف قرار دادن برخی گروه‌های مرتبط با چین شدند - Goblin Panda شروع به کپی کردن علاقه پاندا موستانگ به کشورهای اروپایی کرده است. در ماه نوامبر، ESET یک درپشتی جدید Goblin Panda را که TurboSlate نامیده می‌شود، در یک آژانس دولتی در اتحادیه اروپا کشف کرد. موستانگ پاندا نیز به هدف قرار دادن سازمان های اروپایی ادامه داد. در ماه سپتامبر، یک لودر Korplug مورد استفاده موستانگ پاندا در یک شرکت در بخش انرژی و مهندسی سوئیس شناسایی شد.

گروه‌های مرتبط با ایران نیز به حملات خود ادامه دادند - POLONIUM شروع به هدف قرار دادن شرکت‌های اسرائیلی و همچنین شرکت‌های تابعه خارجی آنها کرد و MuddyWater احتمالاً به یک ارائه‌دهنده خدمات امنیتی فعال نفوذ کرده است.

گروه های مرتبط با کره شمالی از آسیب پذیری های امنیتی قدیمی برای نفوذ به شرکت ها و صرافی های ارزهای دیجیتال در سراسر جهان استفاده کرده اند. جالب اینجاست که کونی زبان هایی را که در اسناد تله استفاده می کرد گسترش داد و انگلیسی را به لیست خود اضافه کرد. که می تواند به این معنی باشد که بر روی اهداف معمول روسیه و کره جنوبی تمرکز نمی کند.