Северна Корея

  • Нови тенденции в APT атаките: Китай, Иран, Северна Корея и Русия засилват кибер операциите си

    Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

    Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

    Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

    Останалите тенденции включват:

    • увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
    • разширяване на географското покритие на дейността;
    • засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

    Китайски APT групи възприемат нови тактики

    Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

    Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

    Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

    Иран засилва присъствието си в Африка

    Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

    Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

    Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

    Северна Корея: От криптовалути до шпионаж

    Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

    KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

    Руски групи: Нови играчи и подобрени инструменти

    Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

    Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

    Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

     

Back to top button