Według raportu badaczy ESET, grupy APT powiązane z Rosją nadal brały udział w operacjach wymierzonych w Ukrainę, wykorzystując w tym okresie destrukcyjne narzędzia do czyszczenia danych i oprogramowanie ransomware. Goblin Panda, grupa powiązana z Chinami, zaczęła kopiować zainteresowanie Mustanga Pandy krajami europejskimi. Grupy powiązane z Iranem również działają na wysokim szczeblu. Wraz z Sandwormem, innymi rosyjskimi grupami APT, takimi jak Callisto, Gamaredon kontynuował ataki phishingowe wymierzone w obywateli Europy Wschodniej.
Najważniejsze elementy raportu aktywności ESET APT są następujące:
Firma ESET wykryła, że na Ukrainie ciesząca się złą sławą grupa Sandworm używa nieznanego wcześniej oprogramowania do usuwania danych przeciwko firmie z sektora energetycznego. Operacje grup APT są zwykle prowadzone przez uczestników państwowych lub sponsorowanych przez państwo. Atak nastąpił w tym samym czasie, gdy rosyjskie siły zbrojne rozpoczęły w październiku ataki rakietowe na infrastrukturę energetyczną. Chociaż ESET nie może udowodnić koordynacji między tymi atakami, przewiduje, że Sandworm i rosyjskie wojsko mają ten sam cel.
Firma ESET nazwała NikoWiper najnowszym z serii odkrytych wcześniej programów do czyszczenia danych. Oprogramowanie to zostało użyte przeciwko firmie działającej w sektorze energetycznym na Ukrainie w październiku 2022 roku. NikoWiper jest oparty na SDelete, narzędziu wiersza poleceń, którego Microsoft używa do bezpiecznego usuwania plików. Oprócz złośliwego oprogramowania wymazującego dane firma ESET wykryła ataki Sandworm, które wykorzystują oprogramowanie ransomware jako wycieraczkę. Chociaż w tych atakach wykorzystywane jest oprogramowanie ransomware, głównym celem jest zniszczenie danych. W przeciwieństwie do typowych ataków ransomware, operatorzy Sandworm nie udostępniają klucza deszyfrującego.
W październiku 2022 r. firma ESET wykryła oprogramowanie ransomware Prestige jako wykorzystywane przeciwko firmom logistycznym na Ukrainie iw Polsce. W listopadzie 2022 r. na Ukrainie wykryto nowe oprogramowanie ransomware napisane w .NET o nazwie RansomBoggs. Firma ESET Research upubliczniła tę kampanię na swoim koncie na Twitterze. Wraz z Sandwormem inne rosyjskie grupy APT, takie jak Callisto i Gamaredon, kontynuowały ukierunkowane ataki phishingowe na Ukrainę w celu kradzieży danych uwierzytelniających i wszczepiania implantów.
Badacze firmy ESET wykryli również atak phishingowy MirrorFace wymierzony w polityków w Japonii i zauważyli przesunięcie fazowe w atakowaniu niektórych grup powiązanych z Chinami — Goblin Panda zaczął kopiować zainteresowanie Mustanga Pandy krajami europejskimi. W listopadzie firma ESET odkryła nowy backdoor Goblin Panda, który nazywa się TurboSlate, w agencji rządowej w Unii Europejskiej. Mustang Panda nadal atakował organizacje europejskie. We wrześniu w przedsiębiorstwie w szwajcarskim sektorze energetycznym i inżynieryjnym zidentyfikowano ładowarkę Korplug używaną przez Mustanga Pandę.
Grupy powiązane z Iranem również kontynuowały swoje ataki – POLONIUM zaczęło brać na cel izraelskie firmy oraz ich zagraniczne filie, a MuddyWater prawdopodobnie przeniknął do aktywnego dostawcy usług bezpieczeństwa.
Grupy powiązane z Koreą Północną wykorzystały stare luki w zabezpieczeniach do infiltracji firm kryptowalutowych i giełd na całym świecie. Co ciekawe, Konni rozszerzył języki, których używał w swoich dokumentach-pułapkach, dodając do swojej listy język angielski; co może oznaczać, że nie koncentruje się na swoich zwykłych celach w Rosji i Korei Południowej.
Bądź pierwszy i skomentuj