Selon le rapport des chercheurs d'ESET, des groupes APT liés à la Russie ont continué à participer à des opérations ciblant spécifiquement l'Ukraine, en utilisant des effaceurs de données destructeurs et des rançongiciels pendant cette période. Goblin Panda, un groupe affilié à la Chine, a commencé à copier l'intérêt de Mustang Panda pour les pays européens. Des groupes liés à l'Iran opèrent également à un niveau élevé. Avec Sandworm, d'autres groupes APT russes tels que Callisto, Gamaredon ont poursuivi leurs attaques de phishing ciblant les citoyens d'Europe de l'Est.
Les points saillants du rapport d'activité ESET APT sont les suivants :
ESET a détecté qu'en Ukraine, le célèbre groupe Sandworm utilise un logiciel d'effacement de données jusqu'alors inconnu contre une entreprise du secteur de l'énergie. Les opérations des groupes APT sont généralement menées par l'État ou des participants parrainés par l'État. L'attaque est survenue en même temps que les forces armées russes lançaient des frappes de missiles visant des infrastructures énergétiques en octobre. Bien qu'ESET ne puisse pas prouver la coordination entre ces attaques, il envisage que Sandworm et l'armée russe aient le même objectif.
ESET a nommé NikoWiper le dernier d'une série de logiciels d'effacement de données découverts précédemment. Ce logiciel a été utilisé contre une entreprise opérant dans le secteur de l'énergie en Ukraine en octobre 2022. NikoWiper est basé sur SDelete, un utilitaire de ligne de commande utilisé par Microsoft pour supprimer des fichiers en toute sécurité. En plus des logiciels malveillants d'effacement des données, ESET a découvert des attaques de vers de sable qui utilisent un rançongiciel comme essuie-glace. Bien que des rançongiciels soient utilisés dans ces attaques, le but principal est de détruire des données. Contrairement aux attaques de ransomware courantes, les opérateurs Sandworm ne fournissent pas de clé de déchiffrement.
En octobre 2022, le rançongiciel Prestige a été détecté par ESET comme étant utilisé contre des entreprises de logistique en Ukraine et en Pologne. En novembre 2022, un nouveau rançongiciel écrit en .NET appelé RansomBoggs a été découvert en Ukraine. ESET Research a rendu cette campagne publique sur son compte Twitter. Parallèlement à Sandworm, d'autres groupes APT russes tels que Callisto et Gamaredon ont poursuivi leurs attaques de phishing ciblées ukrainiennes pour voler des identifiants et implanter des implants.
Les chercheurs d'ESET ont également détecté une attaque de phishing MirrorFace ciblant des politiciens au Japon et ont remarqué un changement de phase dans le ciblage de certains groupes liés à la Chine - Goblin Panda a commencé à copier l'intérêt de Mustang Panda pour les pays européens. En novembre, ESET a découvert une nouvelle porte dérobée Goblin Panda qu'il appelle TurboSlate dans une agence gouvernementale de l'Union européenne. Mustang Panda a également continué à cibler les organisations européennes. En septembre, un chargeur Korplug utilisé par Mustang Panda a été identifié dans une entreprise du secteur de l'énergie et de l'ingénierie en Suisse.
Des groupes liés à l'Iran ont également poursuivi leurs attaques - POLONIUM a commencé à cibler des entreprises israéliennes ainsi que leurs filiales étrangères, et MuddyWater a probablement infiltré un fournisseur de services de sécurité actif.
Des groupes liés à la Corée du Nord ont utilisé d'anciennes vulnérabilités de sécurité pour infiltrer des sociétés et des bourses de crypto-monnaie dans le monde entier. Fait intéressant, Konni a élargi les langues qu'il utilisait dans ses documents de piège, ajoutant l'anglais à sa liste ; ce qui pourrait signifier qu'il ne se concentre pas sur ses cibles russes et sud-coréennes habituelles.
Soyez le premier à commenter