ESET Research uzsāk ESET APT aktivitāšu ziņojumu, kura mērķis ir sniegt periodisku pārskatu par ESET secinājumiem attiecībā uz progresīvu noturīgu draudu (APT) grupu darbību. Pirmajā daļā, kas aptver 2022. gada T2 periodu (2022. gada maijs-augusts), ESET Research nav novērojusi Krievijas, Ķīnas, Irānas un Ziemeļkorejas draudu dalībnieku APT aktivitātes samazināšanos. Pat vairāk nekā astoņus mēnešus pēc Krievijas iebrukuma Ukraina joprojām ir galvenais ar Krieviju saistīto APT grupu, piemēram, bēdīgi slavenās Sandworm, kā arī Gamaredon, InvisiMole, Callisto un Turla, mērķis. Ziemeļkorejai pietuvinātās grupas joprojām ļoti interesē kosmosa un aizsardzības nozares, kā arī finanšu un kriptovalūtas uzņēmumi un biržas.
"Esam novērojuši, ka T2 2022. gadā vairāki ar Krieviju saistīti grupējumi izmantoja Krievijas daudzplatformu ziņapmaiņas pakalpojumu Telegram, lai piekļūtu C&C serveriem vai kā instrumentu informācijas noplūdei. Arī draudu dalībnieki no citiem reģioniem centās piekļūt Ukrainas organizācijām gan kiberspiegošanas, gan intelektuālā īpašuma zādzības nolūkos," precizē ESET draudu izpētes direktors Žans Īans Butēns.
"Ziemeļkorejai pietuvinātie grupējumi joprojām interesējas par aviācijas un aizsardzības nozari - Lazarus bija vērsies pret kāda Nīderlandes aviācijas un kosmosa uzņēmuma darbinieku. Saskaņā ar mūsu pētījumu grupa ļaunprātīgi izmantoja likumīgā Dell draivera ievainojamību, lai iefiltrētos uzņēmumā, un mēs uzskatām, ka šī ir pirmā reģistrētā šīs ievainojamības ļaunprātīga izmantošana savvaļā," turpina Boutins.
Finanšu iestādes un struktūras, kas strādā ar kriptovalūtu, bija Ziemeļkorejas pieskaņotā Kimsuky un divu Lazarus kampaņu mērķis. Viena no tām, ko ESET pētnieki nosauca par operāciju In(ter)ception, atšķīrās no ierastās mērķēšanas uz kosmosa un aizsardzības nozarēm, kad tā bija vērsta pret personu no Argentīnas ar ļaunprogrammatūru, kas bija maskēta kā darba piedāvājums Coinbase. ESET pamanīja arī Konni, kas izmantoja iepriekš Lazarus izmantoto paņēmienu - Sumatra PDF pārlūka Trojanizētu versiju.
Ar Ķīnu saistītas grupas joprojām bija ļoti aktīvas, izmantojot dažādas ievainojamības un iepriekš nepaziņotus aizmugurējos vārtus. ESET identificēja Linux aizmugurējo durvju variantu, ko SparklingGoblin izmantoja pret Honkongas universitāti. Tā pati grupa izmantoja Confluence ievainojamību, lai uzbruktu pārtikas ražošanas uzņēmumam Vācijā un inženierijas uzņēmumam ASV. ESET Research arī ir aizdomas, ka ManageEngine ADSelfService Plus ievainojamība bija ASV aizsardzības darbuzņēmēja kompromitēšanas pamatā, kura sistēmas tika uzlauztas tikai divas dienas pēc ievainojamības publiskošanas. Japānā ESET Research identificēja vairākas MirrorFace kampaņas, no kurām viena bija tieši saistīta ar domes vēlēšanām.
Arvien vairāk Irānas izcelsmes APT grupu turpina koncentrēties uz dažādām Izraēlas jomām. ESET pētniekiem izdevās tos sasaistīt ar POLONIUM kampaņu, kas bija vērsta pret duci Izraēlas organizāciju, un identificēt vairākas iepriekš nepaziņotas aizmugurējās durvis. Agrius grupa bija vērsusies pret organizācijām, kas darbojas vai ir saistītas ar dimantu nozari Dienvidāfrikā, Honkongā un Izraēlā, ESET pētnieki uzskata, ka tas bija uzbrukums piegādes ķēdei un Izraēlā izstrādātas programmatūras paketes ļaunprātīga izmantošana šajā jomā. Kādā citā kampaņā Izraēlā tika atklāts, ka grupas MuddyWater un APT35, iespējams, izmanto līdzīgus rīkus. APT-C-50 kampaņas laikā izmeklētāji atklāja arī jaunu Android ļaunprogrammatūras versiju, kas tika izplatīta, kopējot Irānas tīmekļa vietni, un tai bija ierobežotas spiegošanas funkcijas.