ESET ha reso noti i risultati dell’ESET APT Activity Report, che fornisce un’analisi delle ricerche di ESET sulle attività dei gruppi Advanced Persistent Threat (APT), relative al periodo ottobre 2022 – marzo 2023.
Il Report viene rilasciato su base semestrale. Durante questo periodo, diversi gruppi affiliati alla Cina, come e3chang e Mustang Panda, si sono concentrati sulle organizzazioni europee. In Israele, il gruppo allineato all’Iran OilRig ha implementato una nuova backdoor personalizzata.
I gruppi vicini alla Corea del Nord hanno continuato a concentrarsi su soggetti sudcoreani e legati alla Corea del Sud. I gruppi APT filo-russi sono stati particolarmente attivi in Ucraina e nei Paesi dell’Unione Europea, con Sandworm che ha distribuito dei wipers.
Le attività descritte nell’ESET APT Activity Report sono rilevate dalla tecnologia ESET
“I prodotti ESET proteggono i sistemi dei nostri clienti dalle attività dannose descritte in questo report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET e sono state verificate dai ricercatori ESET“, spiega Jean-Ian Boutin, Direttore di ESET Threat Research.
Secondo i risultati dell’ESET APT Activity Report, Ke3chang, affiliato alla Cina, è ricorso alla distribuzione di una nuova variante di Ketrican, mentre Mustang Panda ha utilizzato due nuove backdoor. MirrorFace ha preso di mira il Giappone e ha implementato nuovi approcci di distribuzione del malware, mentre l’operazione ChattyGoblin ha compromesso una società di gioco d’azzardo nelle Filippine colpendo i suoi addetti all’assistenza.
Ancora secondo l’ESET APT Activity Report, i gruppi SideWinder e Donot Team, allineati all’India, hanno continuato a colpire le istituzioni governative dell’Asia meridionale. Il primo ha avuto come obiettivo il settore dell’istruzione in Cina, mentre il secondo ha continuato a sviluppare il famigerato framework yty, ma ha anche implementato il RAT Remcos disponibile in commercio.
Sempre in Asia meridionale, ESET Research ha rilevato un elevato numero di tentativi di phishing della webmail Zimbra.
Informazioni di alta qualità sulle minacce alla sicurezza informatica
Oltre a prendere di mira i dipendenti di un appaltatore della difesa in Polonia con una falsa offerta di lavoro a tema Boeing, il gruppo Lazarus, vicino alla Corea del Nord, ha anche spostato l’attenzione dai suoi soliti target verticali a un’azienda di gestione dati in India, utilizzando un’esca a tema Accenture.
Nel suo ESET APT Activity Report, ESET ha anche identificato una componente di malware Linux sfruttata in una delle loro campagne. Le somiglianze con questo malware appena scoperto avvalorano la tesi che il gruppo sia responsabile dell’attacco alla supply chain 3CX.
I gruppi APT allineati alla Russia sono stati particolarmente attivi in Ucraina e nei Paesi dell’UE. Infine, l’ESET APT Activity Report ha rilevato che la già citata piattaforma e-mail Zimbra è stata sfruttata anche da Winter Vivern, un gruppo particolarmente attivo in Europa, e i ricercatori hanno notato un calo significativo dell’attività di SturgeonPhisher, un gruppo che prende di mira il personale governativo dei Paesi dell’Asia centrale con e-mail di spearphishing, il che fa pensare che il gruppo si stia attualmente riorganizzando.
