Chinese groepen richten zich op EU-doelwitten

ESET heeft haar nieuwste rapport uitgebracht over de activiteiten van geselecteerde geavanceerde aanvalsgroepen, ook wel APT-groepen genoemd (advanced persistent threat) die van april 2023 tot eind september 2023 zijn geobserveerd, onderzocht en geanalyseerd door ESET-onderzoekers. ESET Research observeerde verschillende APT-groepen die gebruik maakten van bekende kwetsbaarheden om gegevens te exfiltreren van overheidsinstanties of gerelateerde organisaties. De geselecteerde bevindingen werden tijdens een persevenement exclusief aan geselecteerde journalisten gepresenteerd. De presentatie en het rapport bevatten de aanhoudende campagnes van Chinese groepen in de Europese Unie en de evolutie van de Russische cyberoorlog in Oekraïne van sabotage naar spionage.

De aan  Rusland gelieerde  Sednit en Sandworm, de aan  Noord-Korea gelieerde Konni en de geografisch niet aan Rusland gelieerde Winter Vivern en SturgeonPhisher grepen de gelegenheid aan om kwetsbaarheden in WinRAR (Sednit, SturgeonPhisher en Konni), Roundcube (Sednit en Winter Vivern), Zimbra (Winter Vivern) en Outlook voor Windows (Sednit) te misbruiken om verschillende overheidsorganisaties aan te vallen, niet alleen in Oekraïne maar ook in Europa en Centraal-Azië. Wat betreft de dreigingsactoren die gelieerd zijn aan China, maakte GALLIUM waarschijnlijk gebruik van zwakke plekken in Microsoft Exchange-servers of IIS-servers, waardoor het doelwit werd uitgebreid van telecommunicatiebedrijven naar overheidsorganisaties over de hele wereld; MirrorFace maakte waarschijnlijk gebruik van zwakke plekken in de online opslagdienst Proself; en TA410 maakte waarschijnlijk gebruik van zwakke plekken in de Adobe ColdFusion-toepassingsserver.

Aan Iran en het Midden-Oosten gelieerde groepen bleven op grote schaal actief, voornamelijk gericht op spionage en diefstal van gegevens van organisaties in Israël. Met name de aan Iran gelieerde MuddyWater richtte zich ook op een niet-geïdentificeerde entiteit in Saoedi-Arabië, waarbij een payload werd ingezet die suggereert dat deze dreigingsactor mogelijk fungeert als toegangspoort  voor een meer geavanceerde groep.

Het belangrijkste doelwit van de Rusland-groepen bleef Oekraïne, waar we nieuwe versies ontdekten van de bekende Wiper Malware RoarBat en NikoWiper en een nieuwe Wiper met de naam SharpNikoWiper, allemaal ingezet door Sandworm. Interessant is dat, terwijl andere groepen - zoals Gamaredon, GREF en SturgeonPhisher - zich richten op Telegram-gebruikers om te proberen informatie te exfiltreren, of op zijn minst wat Telegram-gerelateerde metadata, Sandworm deze service actief gebruikt  om promotie  te maken voor hun cybersabotage operaties. De meest actieve groep in Oekraïne bleef echter Gamaredon, die zijn mogelijkheden om gegevens te verzamelen aanzienlijk uitbreidde door bestaande tools opnieuw te ontwikkelen en nieuwe in te zetten.

Noord-Koreaanse groepen bleven zich richten op Japan, Zuid-Korea en op Zuid-Korea gerichte entiteiten. Daarbij maakten ze gebruik van zorgvuldig opgestelde spear phishing e-mails. De meest actieve Lazarus-campagne dat werd waargenomen was Operation DreamJob, waarbij doelwitten  werden gelokt met nepbanen voor lucratieve functies. Deze groep toonde consequent aan malware te kunnen maken voor alle belangrijke desktopplatforms.

Tot slot ontdekten onze onderzoekers de activiteiten van drie voorheen niet-geïdentificeerde, aan China gelieerde groepen: DigitalRecyclers, die herhaaldelijk een overheidsorganisatie in de EU in gevaar brachten; TheWizards, die adversary-in-the-middle-aanvallen uitvoerden; en PerplexedGoblin, die een andere overheidsorganisatie in de EU als doelwit had.

ESET APT Activity Reports bevatten slechts een fractie van de gegevens over cyberbeveiliging die aan klanten van ESET's privé APT-rapporten worden verstrekt. ESET-onderzoekers bereiden diepgaande technische rapporten en frequente activiteitenupdates voor waarin de activiteiten van specifieke APT-groepen worden beschreven, in de vorm van ESET APT Reports PREMIUM, om organisaties te helpen die tot taak hebben burgers, kritieke nationale infrastructuur en waardevolle activa te beschermen tegen criminele cyberaanvallen en cyberaanvallen die worden uitgevoerd door staten. Uitgebreide beschrijvingen van activiteiten die in dit document worden beschreven, werden daarom voorheen uitsluitend aan onze premium klanten verstrekt.