Компанія ESET підготувала огляд активності APT-груп з квітня до кінця вересня 2023 року. За ці 6 місяців головною ціллю російських груп кіберзлочинців залишалася Україна, а їх кібератаки еволюціонували від диверсій до шпигунства. Зловмисники часто націлювалися на державні установи, медіа та інші організації. Для атак кіберзлочинці активно використовували уразливості у популярних програмах та фішингові листи.

Зокрема такі російські групи, як Gamaredon, GREF і SturgeonPhisher, націлювалися на користувачів Telegram з метою викрадення інформації або пов’язаних метаданих. Тоді як Sandworm, ще одна група з росії, теж активно використовувала цей месенджер для реклами своїх дій кіберсаботажу. Крім цього, група поширювала нові версії уже відомих загроз та нові програми для знищення даних, націлені на державні організації, приватні компанії та медіаорганізацію в Україні.

Однак найактивнішою групою в Україні продовжувала залишатися Gamaredon, яка значно розширила свої можливості викрадення даних шляхом вдосконалення існуючих інструментів і впровадження нових. Зокрема спеціалісти ESET виявили ряд інструментів, які можуть викрадати інформацію з Signal, Telegram, WhatsApp, облікові дані Outlook і The Bat!, а також cookie-файли з популярних браузерів.

Крім цього, пов’язані з росією Sednit і Sandworm, з Північною Кореєю ― Konni та інші дві групи ― Winter Vivern і SturgeonPhisher використовували уразливості в архіваторі WinRAR, сервісах електронної пошти Roundcube, Zimbra та Outlook для Windows, щоб атакувати різні державні організації не лише в Україні, а й у Європі та Центральній Азії. Інша група, пов’язана з Китаєм, використовувала уразливості в серверах Microsoft Exchange або серверах IIS, атакуючи різні цілі – від телекомунікаційних операторів до урядових організацій у всьому світі.

При цьому групи, пов’язані з Китаєм, були найбільш активними в країнах Європейського Союзу, а кіберзлочинці з Ірану і Близького Сходу переважно зосереджувались на шпигунстві та крадіжці даних в організацій в Ізраїлі. Тоді як групи з Північної Кореї продовжували націлюватися на Японію та Південну Корею, використовуючи ретельно розроблені фішингові електронні листи. Поширеною схемою було заманювання цілей фальшивими пропозиціями роботи на прибуткові посади.

Також дослідники ESET виявили діяльність трьох раніше невідомих груп, пов’язаних із Китаєм: DigitalRecyclers та PerplexedGoblin атакували дві різні організації в ЄС, а TheWizards проводила MITM-атаки.

Варто зазначити, що APT-групи ― це угрупування висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їх метою є отримання конфіденційних даних урядових установ, високопоставлених осіб або стратегічних компаній та уникнення при цьому виявлення. Такі групи кіберзлочинців мають великий досвід та використовують складні шкідливі інструменти та раніше невідомі уразливості.

Чому дані про APT-загрози важливі?

Атаки APT-груп досить витончені та небезпечні, тому важливо забезпечити максимальний захист завдяки комплексному підходу до безпеки. Зокрема компаніям варто подбати про  потужний захист пристроїв за допомогою розширеного виявлення та реагування на загрозирозширеного аналізу у хмарі та шифрування даних тощо, а також розуміти можливі вектори атак та особливості діяльності певних груп, які доступні саме у звітах про APT-загрози.

Дослідники ESET готують детальну технічну інформацію, постійно оновлюючи дані про діяльність певних APT-груп у формі розширених звітів, щоб допомогти відповідним організаціям захищати користувачів, критичну інфраструктуру та інші важливі активи від цілеспрямованих кібератак.