ESET brengt zijn nieuwste rapport uit over activiteiten van geselecteerde Advanced Persistent Threat (APT)-groepen die tussen april 2023 en eind september 2023 door ESET-onderzoekers waargenomen, onderzocht en geanalyseerd werden. Het Research team zag dat verschillende APT-groepen bekende kwetsbaarheden misbruikten om gegevens van overheidsinstanties of gerelateerde organisaties te exfiltreren. Het rapport onderzoekt de aanhoudende campagnes in de Europese Unie van aan China gelinkte groepen en de evolutie van de Russische cyberoorlog in Oekraïne, van sabotage naar spionage.
· Het nieuwste APT-rapport (Advanced Persistent Threat) bevat activiteiten van geselecteerde APT-groepen van april 2023 tot september 2023.
· Het belicht de aanhoudende campagnes van tegen de EU door aan China gelinkte groepen en de evolutie van de Russische cyberoorlog in Oekraïne, van sabotage naar spionage.
· Diverse groepen misbruiken kwetsbaarheden in WinRAR, Microsoft Exchange-servers en IIS-servers.
· Het voornaamste doelwit van aan Rusland gelinkte groepen blijft Oekraïne; Telegram-gebruikers werden een doelwit om gegevens te verzamelen.
· Onder de nieuwe aan China gelinkte groepen brachten DigitalRecyclers herhaaldelijk een EU overheidsorganisatie in gevaar; TheWizards voerden adversary-in-the-middle-aanvallen uit en PerplexedGoblin richtte zich op een andere overheidsorganisatie in de EU. EU.
BRATISLAVA — 30 oktober 2023 — ESET brengt zijn nieuwste rapport uit over activiteiten van geselecteerde Advanced Persistent Threat (APT)-groepen die tussen april 2023 en eind september 2023 door ESET-onderzoekers waargenomen, onderzocht en geanalyseerd werden. Het Research team zag dat verschillende APT-groepen bekende kwetsbaarheden misbruikten om gegevens van overheidsinstanties of gerelateerde organisaties te exfiltreren. Het rapport onderzoekt de aanhoudende campagnes in de Europese Unie van aan China gelinkte groepen en de evolutie van de Russische cyberoorlog in Oekraïne, van sabotage naar spionage.
Sednit en Sandworm, aan Rusland gelinkt, Konni, aan Noord-Korea gelinkt en de geografisch niet-toegeschreven Winter Vivern en SturgeonPhisher zagen de kans om kwetsbaarheden in WinRAR (Sednit, SturgeonPhisher en Konni), Roundcube (Sednit en Winter Vivern), Zimbra (Winter Vivern) te misbruiken. Outlook voor Windows (Sednit) richtte zich op verschillende overheidsorganisaties, niet alleen in Oekraïne maar ook in Europa en Centraal-Azië. Bij de aan China gelinkte dreigingsactoren maakte GALLIUM wellicht misbruik van zwaktes in Microsoft Exchange-servers of IIS-servers, zodat zijn doelwit zich uitbreide van telecom-operatoren naar overheidsorganisaties wereldwijd; MirrorFace misbruikte wellicht kwetsbaarheden in de online opslagdienst Proself; TA410 misbruikte wellicht fouten in de Adobe ColdFusion-applicatieserver.
Aan Iran en het Midden-Oosten gelinkte groepen bleven op grote schaal opereren en richtten zich vooral op spionage en gegevensdiefstal van Israëlische organisaties. Muddy Water, aan Iran gelinkt, richtte zich ook op een niet-geïdentificeerde entiteit in Saoedi-Arabië. Een lading werd ingezet wat suggereert dat deze groep zou kunnen dienen als toegangsontwikkelaar voor een nog meer geavanceerde groep.
Het hoofddoel van aan Rusland gelinkte groepen blijft Oekraïne, waar nieuwe versies werden ontdekten van de bekende wipers RoarBat en NikoWiper en een nieuwe wiper die SharpNikoWiper werd genoemd, alles was door Sandworm ingezet. Interessant is dat, terwijl andere groepen – zoals Gamaredon, GREF en SturgeonPhisher – zich richten op Telegram-gebruikers om te proberen informatie te exfiltreren, of ten minste enkele Telegram-gerelateerde metadata, deze dienst actief gebruikt wordt door Sandworm voor actieve meetdoeleinden en ook reclame maakt voor zijn cybersabotage-operaties. Gamaredon, bleef de meest actieve groep in Oekraïne. Het verbeterde aanzienlijk zijn capaciteiten voor het inzamelen van gegevens door bestaande tools te her-ontwikkelen en nieuwe in te zetten.
Aan Noord-Korea gelinkte groepen bleven zich concentreren op Japan, Zuid-Korea en aan Zuid-Korea gelinkte organisaties. Daarbij gebruikten ze zorgvuldig vervaardigde spearphishing-e-mails. Het meest actieve Lazarus-plan dat waargenomen werd, is Operatie DreamJob, die doelwitten lokte met valse aanbiedingen voor lucratieve jobs. De groep demonstreerde zijn vermogen om malware te creëren voor alle grote social media platforms.
Ten slotte ontdekten de onderzoekers de activiteiten van drie voorheen onbekende, aan China gelinkte groepen: DigitalRecyclers, die herhaaldelijk een overheidsorganisatie in de EU in gevaar brachten; TheWizards, die adversary-in-het-midden-aanvallen uitvoeren; en PerplexedGoblin, die op een andere overheidsorganisatie in de EU doelde.
ESET APT-rapporten bevatten slechts een fractie van de informatie over cybersecurity die aan klanten wordt verstrekt via zijn privé-APT-rapporten. ESET-onderzoekers maken grondige technische rapporten en frequente updates waarin de activiteiten van specifieke APT-groepen worden beschreven, zoals de ESET APT Reports PREMIUM, om organisaties te helpen die belast zijn met het beschermen van burgers, kritieke nationale infrastructuur en waardevolle bezittingen tegen aanvallen van criminelen en staten. Uitgebreide beschrijvingen van de in dit document aangehaalde acties werden voorheen uitsluitend aan ESET’s premiumklanten verstrekt. Meer informatie over ESET APT Reports PREMIUM, die hoogwaardige, strategische, bruikbare en tactische cybersecurity-informatie leveren, is beschikbaar op de ESET Threat Intelligence.
Raadpleeg, voor meer technische informatie, het volledige ESET APT-rapport op www.welivesecurity.com. Volg ook ESET Research on Twitter (now known as X) voor het laatste nieuws over ESET Research.
