Ruske APT grupe pojačale su napade na Ukrajinu i Evropsku uniju, iskorištavajući zero-day ranjivosti i koristeći maliciozni softver za brisanje podataka, saopštila je kompanija ESET.
Ukrajina suočena s rastućim cyber prijetnjama
Ruski hakerski kolektiv Sandworm, povezan s državom, pojačan je destruktivne operacije protiv ukrajinskih energetskih kompanija, koristeći novi “wiper” malver nazvan ZEROLOT.
Grupa Gamaredon ostala je najaktivniji haker u ciljanju Ukrajine, poboljšavši metode prikrivanja svog malvera i uvela je PteroBox, alat za krađu fajlova koji koristi Dropbox.
“Maliciozna grupa Sandworm se fokusirala na kompromitovanje ukrajinske energetske infrastrukture. U novijim napadima koristili su ZEROLOT wiper. U te svrhe napadači su iskorištavaju Active Directory Group Policy u pogođenim organizacijama,” izjavio je Jean-Ian Boutin, direktor istraživanja prijetnji u ESET-u.
Grupa Sednit je usavršila iskorištavanje XSS ranjivosti u webmail servisima, proširujući operaciju RoundPress sa Roundcube servisa na Horde, MDaemon i Zimbra. ESET je otkrio da su uspjeli iskoristiti zero-day ranjivost u MDaemon Email Serveru (CVE-2024-11182) protiv ukrajinskih firmi.
Nekoliko Sednit napada na odbrambene firme u Bugarskoj i Ukrajini koristilo je spearphishing e-mail kampanje kao metodu napada. Druga ruski-orijentisana grupa, RomCom, demonstrirala je napredne mogućnosti koristeći zero-day ranjivosti u Mozilla Firefox-u (CVE-2024-9680) i Microsoft Windows-u (CVE-2024-49039).
Kina i Sjeverna Koreja šire svoje kampanje
U Aziji, kineski APT akteri nastavili su kampanje protiv vladinih i akademskih institucija. Grupa Mustang Panda ostala je najaktivnija, ciljajući vladine institucije i kompanije u pomorskom transportu koristeći Korplug loadere i maliciozne USB uređaje.
Grupa DigitalRecyclers nastavila je ciljati vladine entitete u EU, koristeći KMA VPN za anonimnost i distribuirajući malvere RClient, HydroRShell i GiftBox. Grupa PerplexedGoblin koristila je svoj novi špijunski alat, koji je ESET nazvao NanoSlate, protiv vlade jedne srednjoevropske zemlje, dok je Webworm ciljao srpsku vladinu organizaciju koristeći SoftEther VPN, što pokazuje i dalje prisutnu popularnost ovog alata među kineskim APT grupama.
Aktivnost Sjeverne Koreje u porastu
Drugdje u Aziji, grupe povezane sa Sjevernom Korejom bile su posebno aktivne u kampanjama s finansijskom motivacijom. Grupa DeceptiveDevelopment značajno je proširila svoj spektar ciljeva koristeći lažne oglase za posao, prvenstveno u sektoru kriptovaluta, blockchaina i finansija. Koristili su inovativne metode socijalnog inženjeringa za distribuciju WeaselStore malvera za više platformi.
Krađa kriptovalute sa platforme Bybit, koju je FBI pripisao grupi TraderTraitor APT, uključivala je kompromitovanje lanaca snabdijevanja kroz aplikaciju Safe{Wallet}, pri čemu je izazvana šteta od približno 1,5 milijardi američkih dolara.
U međuvremenu, druge grupe povezane sa Sjevernom Korejom pokazale su varijacije u intenzitetu aktivnosti: početkom 2025. godine, Kimsuky i Konni vratili su se uobičajenom nivou aktivnosti nakon pada krajem 2024, preusmjeravajući ciljeve sa anglofonih think tankova, NVO-a i stručnjaka za Sjevernu Koreju na entitete i diplomatsko osoblje u Južnoj Koreji; grupa Andariel se ponovno pojavila nakon godinu dana neaktivnosti, sa sofisticiranim napadom na južnokorejsku firmu za industrijski softver.
Izvor:Help Net Security
