ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato l’ESET APT Activity Report, che fornisce un’analisi delle ricerche di ESET sulle attività dei gruppi Advanced Persistent Threat (APT), relative al periodo ottobre 2022 – marzo 2023. Il Report viene rilasciato su base semestrale. Durante questo periodo, diversi gruppi affiliati alla Cina, come e3chang e Mustang Panda, si sono concentrati sulle organizzazioni europee. In Israele, il gruppo allineato all’Iran OilRig ha implementato una nuova backdoor personalizzata. I gruppi vicini alla Corea del Nord hanno continuato a concentrarsi su soggetti sudcoreani e legati alla Corea del Sud. I gruppi APT filo-russi sono stati particolarmente attivi in Ucraina e nei Paesi dell’Unione Europea, con Sandworm che ha distribuito dei wipers.
Le attività descritte nel report sono rilevate dalla tecnologia ESET. “I prodotti ESET proteggono i sistemi dei nostri clienti dalle attività dannose descritte in questo report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET e sono state verificate dai ricercatori ESET”, spiega Jean-Ian Boutin, Direttore di ESET Threat Research.
Ke3chang, affiliato alla Cina, è ricorso alla distribuzione di una nuova variante di Ketrican, mentre Mustang Panda ha utilizzato due nuove backdoor. MirrorFace ha preso di mira il Giappone e ha implementato nuovi approcci di distribuzione del malware, mentre l’operazione ChattyGoblin ha compromesso una società di gioco d’azzardo nelle Filippine colpendo i suoi addetti all’assistenza. I gruppi SideWinder e Donot Team, allineati all’India, hanno continuato a colpire le istituzioni governative dell’Asia meridionale: il primo ha avuto come obiettivo il settore dell’istruzione in Cina, mentre il secondo ha continuato a sviluppare il famigerato framework yty, ma ha anche implementato il RAT Remcos disponibile in commercio. Sempre in Asia meridionale, ESET Research ha rilevato un elevato numero di tentativi di phishing della webmail Zimbra.
Oltre a prendere di mira i dipendenti di un appaltatore della difesa in Polonia con una falsa offerta di lavoro a tema Boeing, il gruppo Lazarus, vicino alla Corea del Nord, ha anche spostato l’attenzione dai suoi soliti target verticali a un’azienda di gestione dati in India, utilizzando un’esca a tema Accenture. ESET ha anche identificato una componente di malware Linux sfruttata in una delle loro campagne. Le somiglianze con questo malware appena scoperto avvalorano la tesi che il gruppo sia responsabile dell’attacco alla supply chain 3CX.
I gruppi APT allineati alla Russia sono stati particolarmente attivi in Ucraina e nei Paesi dell’UE, con Sandworm che ha implementato dei wipers (tra cui uno nuovo che ESET ha denominato SwiftSlicer) e Gamaredon, Sednit e Dukes che hanno utilizzato email di spearphishing che, nel caso di Dukes, hanno portato all’esecuzione di un impianto red team noto come Brute Ratel. Infine, ESET ha rilevato che la già citata piattaforma e-mail Zimbra è stata sfruttata anche da Winter Vivern, un gruppo particolarmente attivo in Europa, e i ricercatori hanno notato un calo significativo dell’attività di SturgeonPhisher, un gruppo che prende di mira il personale governativo dei Paesi dell’Asia centrale con e-mail di spearphishing, il che fa pensare che il gruppo si stia attualmente riorganizzando.
Per ulteriori informazioni tecniche, consultate la versione integrale dell’ESET APT Activity Report su WeLiveSecurity.
Gli ESET APT Activity Report contengono solo una parte dei dati di intelligence sulla cybersecurity forniti ai clienti. ESET realizza report tecnici approfonditi e aggiornamenti frequenti sulle attività di gruppi APT specifici sotto forma di ESET APT Reports PREMIUM per aiutare le organizzazioni incaricate di proteggere i cittadini, le infrastrutture critiche nazionali e le risorse di alto valore dai cyberattacchi criminali e diretti dagli Stati nazionali. Ulteriori informazioni sugli ESET APT Reports PREMIUM, che forniscono informazioni di alta qualità sulle minacce alla sicurezza informatica, strategiche e tattiche, sono disponibili alla pagina ESET Threat Intelligence.
