חברת אבטחת המידע ESET משחררת את דוח האיומים האחרון שלה העוסק בפעילויות של קבוצות תקיפה מתקדמות (APT) שחוקרי החברה עקבו אחריהם, חקרו וניתחו את פעילותן בין החודשים אפריל 2023 עד ספטמבר 2023.
נתחיל מישראל:
קבוצות המזוהות עם איראן ומדינות מזרח תיכוניות אחרות המשיכו לפעול בהספק גבוה, והתמקדו בעיקר בריגול וגניבת נתונים מארגונים בישראל.
• קבוצות התקיפה האיראניות OilRig ו MuddyWater-המשיכו לתקוף קורבנות
בישראל במטרה לרגל ולגנוב מידע.
• OilRig נצפתה מפתחת ומפעילה תוכנות ריגול כמו OilForceGTXו-Mango כדי
לתקוף רשויות מקומיות בישראל. הם משתמשים במיילים לניסיונות פישינג ממוקדים הכוללים מסמכים זדוניים עם פקודות
מאקרו כקו החדירה הראשוני.
• MuddyWater הפעילה תוכנת ריגול מבוססת PowerShell כנגד יעד שזהותו אינה ידועה בישראל, ככל הנראה
כ-access development team, קבוצת תוקפים האחראית על פריצה ראשונית למערכות מחשב ותשתיות עבור קבוצת
תקיפה איראנית מתקדמת יותר.
• קבוצת האיומים מהמזרח התיכון POLONIUM ממשיכה להסתמך על תוכנות ריגול מבוססות PowerShell ו-Python כדי
לתקוף ארגונים בישראל למטרות ריגול וגניבת מידע. הקבוצה הפעילה תוכנת ריגול חדשה בשם CreepyPie בחודש אפריל.
ישראל נותרת יעד עיקרי עבור קבוצות סייבר ריגול איראניות ומהמזרח התיכון המנסות לגנוב מידע ולהשיג מודיעין. הם מפתחים ברציפות כלים, תוכנות ריגול והתקפות חדשים הממוקדים ביעדים בישראל.
ובשאר העולם:
הקבוצות Sednit ו-Sandworm המזוהות עם רוסיה, קבוצת Konni המזוהה עם צפון-קוריאה, והקבוצות Winter Vivern
ו-SturgeonPhisher שלהן אין שיוך גיאוגרפי, ניצלו הזדמנויות לשימוש בפרצות ב-WinRAR, Roundcube, Zimbra
ו-Microsoft Outlook כדי לפגוע בארגונים ממשלתיים שונים – לא רק באוקראינה, אלא גם באירופה ובמרכז אסיה.
בנוגע לגורמי איום המזוהים עם סין, נראה כי GALLIUM ניצלו חולשות בשרתי Microsoft Exchange או שרתי IIS, וכך הרחיבו את פעילותן מפגיעה במפעילי שירותי תקשורת לפגיעה בארגונים ממשלתיים ברחבי העולם.
קבוצות המזוהות עם רוסיה ממשיכות לכוון את מתקפותיהן לאוקראינה, שם גילינו גרסאות חדשות של נוזקות מחיקה ידועות כמו RoarBat ו-NikoWiper, יחד עם נוזקת מחיקה חדשה אותה כינינו בשם SharpNikoWiper, כשכולן מופעלות ע״י Sandworm. מסקרן לראות שבעוד שקבוצות אחרות כמו Gamaredon, GREF ו-SturgeonPhisher מכוונות את מתקפותיהן למשתמשי טלגרם כדי לנסות ולגנוב מהם נתונים, או לפחות נתוני מטא הקשורים לטלגרם, Sandworm משתמשת בטלגרם באופן פעיל למטרות התערבות פעילה כדי לפרסם את פעולותיהן במרחב הסייבר. עם זאת, גם כיום הקבוצה הפעילה ביותר באוקראינה היא Gamaredon, ששכללה באופן משמעותי את יכולות איסוף הנתונים שלה באמצעות פיתוח מחדש של כלים קיימים והפצה של כלים חדשים.
קבוצות מזוהות עם צפון קוריאה ממשיכות להתמקד ביפן, בדרום קוריאה ובגופים דרום קוריאניים, ומשתמשים בהודעות פישינג ממוקד שנוצרו באופן מוקפד. הקמפיין הפעיל ביותר של Lazarus הוא Operation DreamJob, שפיתה קורבנות באמצעות הצעות עבודה מזויפות למשרות יוקרתיות. הקבוצה מוכיחה את יכולתה ליצור נוזקות באופן מתמיד לכל מערכות ההפעלה הנפוצות.
חוקרינו גילו גם את פעולותיהן של שלושה קבוצות המזוהות עם סין שלא היו מוכרות בעבר: DigitalRecyclers, שפרצה מספר פעמים לארגון ממשלתי באיחוד האירופי; TheWizards, שביצעו מתקפות ״גורם זדוני בתווך״ (Adversary in The Middle);
ו-PerplexedGoblin שתקפו ארגון ממשלתי אחר באיחוד האירופי.
את הדוח המלא ניתן לקרוא כאן