La relazione esamina le azioni dei gruppi APT nel periodo da aprile a settembre 2023, mettendo in luce le campagne condotte dai gruppi con affinità cinesi nell’Unione Europea e l’evoluzione del conflitto cibernetico tra Russia e Ucraina.
Redazione
ESET, un leader europeo nel settore della sicurezza informatica a livello globale, ha pubblicato il suo più recente rapporto sulle attività dei gruppi APT (Advanced Persistent Threat) esaminate dai ricercatori nel periodo da aprile a settembre di quest’anno.
In particolare, ESET Research ha individuato diversi gruppi APT che sfruttano vulnerabilità ben note per esfiltrare dati da enti governativi e organizzazioni affiliate.
Il Report
Il rapporto analizza le campagne persistenti dei gruppi con legami cinesi nell’Unione Europea e l’evoluzione del conflitto informatico tra Russia e Ucraina, che va dal sabotaggio allo spionaggio.
Gruppi come Sednit e Sandworm, con connessioni alla Russia, Konni, affiliato alla Corea del Nord, e Winter Vivern e SturgeonPhisher, di cui non è nota l’ubicazione geografica, hanno sfruttato opportunità per sfruttare vulnerabilità in software come WinRAR (Sednit, SturgeonPhisher e Konni), Roundcube (Sednit e Winter Vivern), Zimbra (Winter Vivern) e Outlook per Windows (Sednit).
Questi gruppi hanno preso di mira varie organizzazioni governative, non solo in Ucraina ma anche in Europa e nell’Asia centrale. Per quanto riguarda gli attori delle minacce affiliati alla Cina, GALLIUM ha verosimilmente sfruttato le vulnerabilità dei server Microsoft Exchange o IIS, estendendo i propri obiettivi dalle telecomunicazioni alle organizzazioni governative in tutto il mondo.
Le falle del sistema
MirrorFace ha probabilmente sfruttato falle nel servizio di archiviazione online Proself, mentre TA410 si presume abbia sfruttato vulnerabilità del server applicativo Adobe ColdFusion.
I gruppi con affinità all’Iran e al Medio Oriente hanno continuato a operare con un’enfasi sullo spionaggio e il furto di dati da organizzazioni in Israele. In particolare, MuddyWater, affiliato all’Iran, ha preso di mira anche un bersaglio sconosciuto in Arabia Saudita, diffondendo un payload che suggerisce la possibilità che l’autore dell’attacco possa servire come parte di un gruppo più avanzato.
I gruppi legati alla Russia hanno mantenuto l’Ucraina come obiettivo principale, con ESET che ha individuato nuove varianti dei wiper noti RoarBat e NikoWiper, oltre a un nuovo wiper denominato SharpNikoWiper, tutti distribuiti da Sandworm.
È interessante notare che, mentre altri gruppi come Gamaredon, GREF e SturgeonPhisher hanno mirato agli utenti di Telegram per esfiltrare informazioni, Sandworm ha utilizzato attivamente il servizio per promuovere le proprie operazioni di cybersabotaggio.
Tuttavia, il gruppo più attivo in Ucraina è stato Gamaredon, che ha migliorato notevolmente le proprie capacità di raccolta dati, aggiornando gli strumenti esistenti e introducendone di nuovi.
I gruppi legati alla Corea del Nord hanno continuato a concentrarsi su Giappone, Corea del Sud e organizzazioni all’interno di questi paesi, utilizzando sofisticate e-mail di spear phishing.
L’attività più evidente del gruppo Lazarus è stata l’Operazione DreamJob, che ha ingannato i bersagli tramite false offerte di lavoro per posizioni ben retribuite.
Questo gruppo ha dimostrato di avere la capacità di sviluppare malware per tutte le principali piattaforme desktop.
Infine, i ricercatori di ESET hanno individuato tre gruppi precedentemente sconosciuti con legami alla Cina: DigitalRecyclers, che ha ripetutamente violato un’organizzazione governativa dell’UE; TheWizards, che ha condotto attacchi adversary-in-the-middle; e PerplexedGoblin, che ha preso di mira un’altra organizzazione governativa dell’UE.
Va notato che il rapporto ESET APT Activity contiene solo una parte delle informazioni di intelligence sulla sicurezza informatica fornite ai clienti. ESET fornisce report tecnici dettagliati e aggiornamenti regolari sulle attività dei gruppi APT specifici sotto forma di ESET APT Reports PREMIUM, allo scopo di assistere le organizzazioni incaricate di proteggere i cittadini, le infrastrutture critiche nazionali e le risorse di alto valore da cyberattacchi, sia di natura criminale che sponsorizzati dagli Stati nazionali.
Ulteriori dettagli sulle attività descritte in questo rapporto sono stati precedentemente riservati ai clienti Premium di ESET.
Per maggiori informazioni sui report ESET APT Reports PREMIUM, che offrono informazioni di alta qualità sulle minacce informatiche, sia strategiche che tattiche, è possibile visitare la pagina ESET Threat Intelligence.
Per ulteriori dettagli tecnici, si prega di consultare la versione completa dell’ESET APT Activity Report su WeLiveSecurity.