Saskaņā ar ESET pētnieku sagatavoto ziņojumu šajā periodā ar Krieviju saistītās APT grupas turpināja piedalīties operācijās, kuru mērķauditorija bija īpaši Ukraina, izmantojot destruktīvus datu tīrītājus un izspiedējvīrusu programmatūru. Goblin Panda, grupa ar Ķīnas saitēm, sāka kopēt Mustang Panda aicinājumu Eiropas valstīm. Arī ar Irānu saistītas grupas darbojas augstā līmenī. Kopā ar Sandworm citas Krievijas APT grupas, piemēram, Callisto, Gamaredon utt., turpināja pikšķerēšanas uzbrukumus, kuru mērķis bija Austrumeiropas pilsoņi.
ESET APT darbības pārskata svarīgākie momenti ir šādi:
ESET atklāja, ka bēdīgi slavenā grupa Sandworm Ukrainā izmantoja iepriekš nezināmu datu tīrītāju programmatūru pret enerģētikas nozares uzņēmumu. APT grupu darbības bieži veic valsts vai valsts sponsorēti dalībnieki. Uzbrukums notika tajā pašā laikā, kad Krievijas bruņotie spēki oktobrī veica raķešu uzbrukumus enerģētikas infrastruktūrai. Lai gan ESET nevar pierādīt šo uzbrukumu koordināciju, tā pieļauj, ka Sandworm un Krievijas militārpersonām ir viens un tas pats mērķis.
Starp iepriekš atklāto datu tīrītāju programmatūras sēriju ESET nosauca jaunāko NikoWiper. Šī programmatūra tika izmantota pret uzņēmumu, kas darbojas enerģētikas sektorā Ukrainā 2022. gada oktobrī. NikoWiper pamatā ir SDelete — Microsoft komandrindas utilīta drošai failu dzēšanai. Papildus datu dzēšanai ļaunprogrammatūrai ESET atklāja Sandworm uzbrukumus, kas izmanto izspiedējvīrusu kā tīrītājus. Lai gan šajos uzbrukumos tiek izmantota izpirkuma programmatūra, galvenais mērķis ir datu iznīcināšana. Atšķirībā no pazīstamiem ransomware uzbrukumiem, Sandworm operatori nenodrošina atšifrēšanas atslēgu.
2022. gada oktobrī ESET atklāja, ka Prestige ransomware tika izmantota pret loģistikas uzņēmumiem Ukrainā un Polijā. 2022. gada novembrī Ukrainā tika atklāta jauna .NET rakstīta izpirkuma programmatūra RansomBoggs. ESET Research paziņoja par šo kampaņu sabiedrībai savā Twitter kontā. Kopā ar Sandworm citas Krievijas APT grupas, piemēram, Callisto un Gamaredon, ir turpinājušas ukraiņu slepeno pikšķerēšanas uzbrukumus, lai nozagtu akreditācijas datus un stādītu implantus.
ESET pētnieki atklāja arī MirrorFace špikošanas uzbrukumu, kas bija vērsts pret politiķiem Japānā, un pamanīja fāzes izmaiņas dažu ar Ķīnu saistītu grupu mērķī – Goblin Panda sāka kopēt Mustang Panda interesi par Eiropas valstīm. Novembrī ESET kādā Eiropas Savienības valdības organizācijā atklāja jaunas Goblin Panda aizmugures durvis, ko tā nosauca par TurboSlate. Mustang Panda arī turpināja vērsties pret Eiropas organizācijām. Septembrī Korplug iekrāvējs, ko izmantoja Mustang Panda, tika pamanīts kādā Šveices enerģētikas un mašīnbūves sektorā.
Ar Irānu saistītās grupas arī turpināja uzbrukumus — POLONIUM sāka uzbrukt Izraēlas uzņēmumiem, kā arī to ārvalstu meitasuzņēmumiem, un MuddyWater, iespējams, iefiltrējās aktīva drošības pakalpojumu sniedzēja drošībā.
Ar Ziemeļkoreju saistītās grupas ir izmantojušas vecās ievainojamības, lai iefiltrētos kriptovalūtu uzņēmumos un biržās visā pasaulē. Interesanti, ka Konni paplašināja valodas, ko viņš izmantoja savos slazdu dokumentos, pievienojot savam sarakstam angļu valodu; Tas var nozīmēt, ka tā nekoncentrējas uz saviem parastajiem mērķiem – Krieviju un Dienvidkoreju.
Esi pirmais, kas komentē