ESET Tyrimai pristato APT (pažangių nuolatinių grėsmių, angl. Advanced Persistent Threat) veiklos ataskaitą, kurios tikslas - nuosekliai apžvelgti gautus duomenis apie APT grupių veiklą. Pirmojoje dalyje, apimančioje 2022 m. gegužę - rugpjūtį pastebima, jog Rusijai, Kinijai, Iranui ir Šiaurės Korėjai priskiriamų APT grupių veikla išliko aktyvi. Net praėjus daugiau nei aštuoniems mėnesiams po Rusijos invazijos, Ukraina ir toliau išlieka pagrindiniu su Rusija susijusių APT grupių, tokių kaip Sandworm, Gamaredon, InvisiMole, Callisto ir Turla, taikiniu. Aviacijos ir gynybos pramonė kaip ir finansų, kriptovaliutų įmonės bei biržos ir toliau labai domina Šiaurės Korėjai priklausančias grupuotes.
2022 m. T2 grėsmių ataskaitoje pastebėjome, kad kelios Rusijai oponuojančios grupuotės naudojo rusišką žinučių siuntimo programą Telegram kaip informacijos nutekinimo priemonę arba tam, kad prisijungtų prie C&C serverių. „Grėsmių sukėlėjai iš kitų regionų taip pat bandė patekti į Ukrainos organizacijas tiek kibernetinio šnipinėjimo, tiek intelektinės nuosavybės vagystės tikslais“, - patikslina ESET grėsmių tyrimų direktorius Jean-Ian Boutin.
„Šiaurės Korėjos grupuotės ir toliau domisi aviacijos ir gynybos pramone - Lazarus nusitaikė į vienos Nyderlandų aviacijos ir gynybos bendrovės darbuotoją. Mūsų tyrimo duomenimis, grupė pasinaudojo teisėtos Dell tvarkyklės pažeidžiamumu, kad įsiskverbtų į bendrovę, ir manome, kad tai pirmas užfiksuotas piktnaudžiavimas šiuo pažeidžiamumu“, - tęsia Boutin.
Šiaurės Korėjos Kimsuky ir dviejų Lazarus kampanijų taikiniais tapo finansų įstaigos ir su kriptovaliutomis dirbantys subjektai. Viena jų, ESET tyrėjų pavadinta operacija In(ter)ception, išsiskyrė iš įprastų taikinių, nukreiptų į aviacijos ir gynybos pramonę, kai buvo nukreipta į asmenį iš Argentinos su kenkėjiška programine įranga, užmaskuota kaip Coinbase darbo pasiūlymas. Tyrėjai taip pat pastebėjo, kad Konni naudoja anksčiau Lazarus taikytą techniką - Trojos arklio tipo Sumatra PDF peržiūros programos versiją.
Su Kinija siejamos APT grupės ir toliau aktyviai naudojosi įvairiomis pažeidžiamomis vietomis ir anksčiau neaptiktomis atgalinėmis durimis (angl. backdoors). ESET identifikavo grupuotės SparklingGoblin prieš Honkongo universitetą naudotą Linux atgalinių durų atmainą. Ta pati grupė pasinaudojo Confluence pažeidžiamumu, kad atakuotų maisto gamybos įmonę Vokietijoje ir JAV įsikūrusią inžinerijos įmonę.Taip pat įtariama, kad ManageEngine ADSelfService Plus pažeidžiamumas lėmė JAV gynybos rangovo, į kurio sistemas buvo įsilaužta praėjus vos dviems dienoms po viešo pažeidžiamumo atskleidimo, kompromitavimą. Japonijoje ESET tyrėjai nustatė kelias MirrorFace kampanijas, viena jų tiesiogiai susijusi su Patarėjų Rūmų rinkimais.
Vis daugiau iš Irano kilusių APT grupių ir toliau dėmesį skyrė įvairioms Izraelio sritims. ESET tyrėjams pavyko jas susieti POLONIUM kampanija, nukreipta prieš keliolika Izraelio organizacijų, ir nustatyti keletą anksčiau neregistruotų atgalinių durų. Grupė Agrius taikėsi Į Pietų Afrikos, Honkongo ir Izraelio deimantų pramonės arba su jomis susijusias organizacijas, ESET tyrėjų nuomone, vykdydama tiekimo grandinės ataką ir piktnaudžiaudama šioje srityje naudojamu, Izraelyje sukurtu programinės įrangos paketu. Kitos kampanijos Izraelyje metu buvo aptiktas galimas panašių įrankių naudojimas tarp MuddyWater ir APT35 grupių. Per APT-C-50 grupės vykdytą kampaniją tyrėjai taip pat aptiko naują Android kenkėjiškos programinės įrangos versiją; ji buvo platinama kopijuojant Irano svetainę ir turėjo ribotas šnipinėjimo funkcijas.
Apie tai išsamiau skaitykite 2022 m. ESET T2 grėsmių ataskaitoje.