ESET tədqiqatçılarının hesabatına görə, Rusiya ilə əlaqəli APT qrupları bu müddət ərzində dağıdıcı məlumat silənlər və ransomware proqramlarından istifadə edərək, xüsusi olaraq Ukraynanı hədəf alan əməliyyatlarda iştirak etməyə davam ediblər. Çinə bağlı bir qrup olan Goblin Panda, Mustang Pandanın Avropa ölkələrinə olan marağını kopyalamağa başladı. İrana bağlı qruplar da yüksək səviyyədə fəaliyyət göstərir. Sandworm, Callisto, Gamaredon kimi digər Rusiya APT qrupları ilə birlikdə Şərqi Avropa vətəndaşlarını hədəf alan fişinq hücumlarını davam etdirdi.
ESET APT Fəaliyyət Hesabatının əsas məqamları aşağıdakılardır:
ESET müəyyən edib ki, Ukraynada bədnam Sandworm qrupu enerji sektoru şirkətinə qarşı əvvəllər məlum olmayan məlumat silən proqramdan istifadə edir. APT qruplarının əməliyyatları adətən dövlət və ya dövlət tərəfindən maliyyələşdirilən iştirakçılar tərəfindən həyata keçirilir. Hücum Rusiya silahlı qüvvələrinin oktyabr ayında enerji infrastrukturunu hədəf alan raket zərbələri ilə eyni vaxtda baş verib. ESET bu hücumlar arasında koordinasiyanı sübut edə bilməsə də, Sandworm və Rusiya ordusunun eyni məqsədi güdür.
ESET NikoWiper-i əvvəllər kəşf edilmiş məlumat silən proqramlar seriyasının ən sonuncusu adlandırdı. Bu proqram 2022-ci ilin oktyabrında Ukraynada enerji sektorunda fəaliyyət göstərən şirkətə qarşı istifadə edilib. NikoWiper faylları təhlükəsiz silmək üçün Microsoftun istifadə etdiyi SDelete-ə əsaslanır. Məlumatları silən zərərli proqramlardan əlavə, ESET ransomware-dən təmizləyici kimi istifadə edən Sandworm hücumlarını aşkar etdi. Bu hücumlarda ransomware proqramından istifadə edilsə də, əsas məqsəd məlumatların məhv edilməsidir. Ümumi ransomware hücumlarından fərqli olaraq, Sandworm operatorları şifrə açma açarı vermir.
2022-ci ilin oktyabrında Prestige ransomware proqramının ESET tərəfindən Ukrayna və Polşadakı logistika şirkətlərinə qarşı istifadə edildiyi aşkarlanıb. 2022-ci ilin noyabrında Ukraynada RansomBoggs adlı .NET-də yazılmış yeni ransomware aşkar edildi. ESET Research bu kampaniyanı Twitter hesabında ictimaiyyətə açıqlayıb. Sandworm ilə yanaşı, Callisto və Gamaredon kimi digər Rusiya APT qrupları etimadnamələri və implant implantlarını oğurlamaq üçün Ukraynaya yönəlmiş fişinq hücumlarını davam etdirdilər.
ESET tədqiqatçıları həmçinin Yaponiyada siyasətçiləri hədəf alan MirrorFace fişinq hücumunu aşkar etdilər və bəzi Çinlə əlaqəli qrupların hədəflənməsinin mərhələli dəyişməsini müşahidə etdilər – Goblin Panda Mustang Pandanın Avropa ölkələrinə olan marağını kopyalamağa başladı. Noyabr ayında ESET Avropa İttifaqının dövlət qurumlarından birində TurboSlate adlandırdığı yeni Goblin Panda arxa qapısını kəşf etdi. Mustang Panda da Avropa təşkilatlarını hədəf almağa davam etdi. Sentyabr ayında İsveçrənin enerji və mühəndislik sektorundakı müəssisədə Mustang Panda tərəfindən istifadə edilən Korplug yükləyicisi müəyyən edilib.
İranla əlaqəli qruplar da hücumlarını davam etdirdilər - POLONIUM İsrail şirkətlərini, eləcə də onların xarici törəmələrini hədəf almağa başladı və MuddyWater, ehtimal ki, aktiv təhlükəsizlik xidməti təminatçısına sızdı.
Şimali Koreya ilə əlaqəli qruplar kriptovalyuta şirkətlərinə və dünyadakı birjalara sızmaq üçün köhnə təhlükəsizlik boşluqlarından istifadə ediblər. Maraqlıdır ki, Konni tələ sənədlərində istifadə etdiyi dilləri genişləndirərək siyahısına ingilis dilini də əlavə etdi; Bu, onun adi Rusiya və Cənubi Koreya hədəflərinə diqqət yetirməməsi anlamına gələ bilər.
Şərh yazan ilk kişi olun