ESET Research heeft vandaag haar nieuwste APT Activity Report gepubliceerd. Het rapport geeft een update over de aanvallen van APT-groepen op Oekraïne en geeft een overzicht van alle waarnemingen, onderzoeken en analyses van ESET-onderzoekers tussen september en eind december 2022.
Gedurende deze periode bleven aan Rusland gelieerde APT-groepen bijzonder betrokken bij operaties gericht op Oekraïne door de inzet van destructieve wipers en ransomware. Daarnaast begon Goblin Panda, een aan China gelieerde groep, de belangstelling van Mustang Panda voor Europese landen te kopiëren en bleven ook de aan Iran gelieerde groepen actief.
Nieuwe wipers ingezet in de oorlog in Oekraïne
ESET-onderzoekers ontdekten in Oekraïne meerdere nieuwe wipers die in werden gezet door APT-groep Sandworm. Eén daarvan was NikoWiper. Deze wiper werd in oktober 2022 gebruikt tegen een bedrijf in de energiesector in Oekraïne.
NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma van Microsoft dat wordt gebruikt voor het veilig wissen van bestanden. Statelijke, of door de staat gesponsorde, actoren besturen gewoonlijk APT-groepen; de beschreven aanval vond plaats in oktober tijdens dezelfde periode waarin Russische strijdkrachten begonnen met raketaanvallen op energie-infrastructuur. Hoewel ESET niet kan aantonen dat die gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en het Russische leger verwante doelstellingen hebben.
Vorige week ontdekten ESET-onderzoekers nogmaals een nieuwe wiper gericht op Oekraïne, genaamd SwiftSlicer. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. Deze wiper wordt net als NikoWiper, toegeschreven aan Sandworm.
Ransomware en andere activiteiten met betrekking tot de oorlog in Oekraïne
Naast malware die gegevens wist, ontdekte ESET ook Sandworm-aanvallen waarbij ransomware als wiper werd gebruikt. Bij deze aanvallen werd weliswaar ransomware gebruikt, maar het einddoel was hetzelfde als bij de wipers: gegevensvernietiging. In tegenstelling tot traditionele ransomware-aanvallen zijn de Sandworm-operators niet van plan een decryptiesleutel te verstrekken.
In oktober 2022 ontdekte ESET dat Prestige ransomware werd ingezet tegen logistieke bedrijven in Oekraïne en Polen. En in november 2022 ontdekte ESET nieuwe ransomware in Oekraïne geschreven in .NET die we RansomBoggs noemden. ESET Research meldde deze campagne publiekelijk op haar Twitter account. Naast Sandworm hebben ook andere Russische APT-groepen zoals Callisto en Gamaredon hun activiteiten in de oorlog in Oekraïne voortgezet. Zo zetten Callisto en Gamaradon bijvoorbeeld spearphishingcampagnes in om inloggegevens te stelen en systemen te infiltreren.
Overige APT-activiteiten
Naast de activiteiten die betrekking hebben tot de oorlog in Oekraïne geeft het APT-report van ESET ook inzicht in het bredere dreigingslandschap waarbij specifiek wordt gekeken naar groeperingen gelieerd aan China, Iran & Noord-Korea.
Zo ontdekten ESET-onderzoekers een spearphishingcampagne van MirrorFace gericht op politieke entiteiten in Japan; ontdekte ESET afgelopen november een nieuwe backdoor van Goblin Panda, die we TurboSlate noemden, bij een overheidsorganisatie in de Europese Unie; en blijft ook Mustang Panda zich richten op Europese organisaties. Zo werd afgelopen september een Korplug loader ontdekt, die door Mustang Panda gebruikt werd bij een organisatie in de Zwitserse energie en engineering sector.
Ook aan Iran gelieerde groepen zetten hun aanvallen voort. Naast Israëlische bedrijven begon POLONIUM ook buitenlandse dochterondernemingen van Israëlische bedrijven aan te vallen en MuddyWater heeft waarschijnlijk een managed security service provider gecompromitteerd.
Groepen die gelieerd zijn aan Noord-Korea gebruikten oude exploits om cryptocurrency bedrijven en exchanges in verschillende delen van de wereld te compromitteren. Interessant is dat Konni het repertoire van talen die het gebruikt in zijn lokdocumenten heeft uitgebreid met het Engels, wat betekent dat het zich misschien niet richt op zijn gebruikelijke Russische en Zuid-Koreaanse doelen.
