דוח פעילות קבוצות התקיפה (APT), מסכם את פעילותן של קבוצות נבחרות שנצפו, נחקרו ונותחו ע״י חוקרי החברה, בתקופה שבין אוקטובר 2022 למרץ 2023. הדוח מפורסם על בסיס חצי-שנתי. הפעילויות הזדוניות המתוארות מזוהות באמצעות הטכנולוגיה של ESET והמודיעין נשען על נתוני טלמטריה של החברה ומאומת על ידי חוקריה.
במהלך התקופה הזאת, מספר גורמי איום המזוהים עם סין כמו Ke3chang ו-Mustang Panda התמקדו בארגונים אירופאיים. בישראל, קבוצת OilRig המזוהה עם איראן הפעילה דלת אחורית מותאמת-אישית חדשה אשר נקראת 'מנגו' והופעלה כנגד ארגון במגזר הבריאות. קבוצות המזוהות עם צפון קוריאה המשיכו להתמקד ביישויות דרום קוריאניות וכאלו הקשורות לדרום קוריאה. קבוצות APT המזוהות עם רוסיה היו פעילות במיוחד באוקראינה ובמדינות האיחוד האירופי, באמצעות הפצת נוזקות מחיקה דרך Sandworm.
קבוצת Ke3chang, המזוהה עם סין, השתמשה בטקטיקות כמו הפצה של וריאנט Ketrican החדש, וקבוצת Mustang Panda (שמזוהה גם היא עם סין) השתמשה בשתי דלתות אחוריות חדשות. קבוצת MirrorFace התמקדה ביפן ופיתחה גישות חדשות להפצת נוזקות, כמו במבצע ChattyGoblin, בו הקבוצה הצליחה לפרוץ לחברת הימורים בפיליפינים באמצעות ניצול לרעה של אנשי התמיכה שלהם. קבוצות SideWinder ו-Donot, המזוהות עם הודו, המשיכו לתקוף מוסדות ממשלתיים בדרום אסיה, כשהראשונה מביניהן התמקדה במוסדות חינוכיים בסין והשנייה ממשיכה לפתח את מסגרת העבודה yty הידועה לשמצה, אך גם הפיצה את נוזקת ה-RAT המכונה Remcos וזמינה לרכישה באופן חופשי. בנוסף, גוף המחקר של ESET זיהה בדרום אסיה גם מספר ניסיונות דיוג באמצעות דוא״ל מצד קבוצת Zimbra.
בנוסף לתקיפת העובדים של קבלן ההגנה הצבאית בפולין באמצעות הצעת עבודה המתחזה להצעת עבודה מ-Boeing, קבוצת Lazarus, המזוהה עם צפון קוריאה, הסיטה את המיקוד שלה מהמטרות הרגילות שלה אל חברת ניהול נתונים בהודו, תוך שימוש בפיתיון שמתבסס על חברת Accenture. נקודות דמיון אל נוזקת הלינוקס האחרונה של Lazarus תומכות בתיאוריה לפיה הקבוצה המזוהה עם צפון קוריאה עומדת מאחורי מתקפת שרשרת האספקה ״3CX״.
קבוצות APT המזוהות עם רוסיה היו פעילות באופן חריג באוקראינה ובמדינות האיחוד האירופי. קבוצת Sandworm הפיצה נוזקות מחיקה (wipers), ביניהן נוזקה חדשה אותה אנו מכנים בשם SwiftSlicer. קבוצות Gamaredon, Sednit ו-Dukes השתמשו במתקפות דיוג ממוקד (spear-phishing) באמצעות דוא״ל, ובמקרה של Dukes המתקפה הצליחה להוביל להפעלה של Red team implant המוכר בשם Brute Ratel.
בנוסף, חברת ESET זיהתה שפלטפורמת הדוא״ל Zimbra שהוזכרה לפני כן נוצלה גם ע״י קבוצת Western Vivern שפעילה בעיקר באירופה, והחוקרים זיהו ירידה משמעותית בפעילות של SturgeonPhisher, קבוצה שמיקדה את מתקפותיה בצוותים ממשלתיים של מדינות במרכז אירופה באמצעות שימוש בהודעות דיוג ממוקד בדוא״ל, מה שמוביל להערכה שהקבוצה עוסקת כרגע בגיוס כלים חדשים.
למידע טכני נוסף, קראו את ״דוח פעילות ה-APT של ESET״