Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.
Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.
Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.
Останалите тенденции включват:
- увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
- разширяване на географското покритие на дейността;
- засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.
Китайски APT групи възприемат нови тактики
Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.
Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.
Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.
Иран засилва присъствието си в Африка
Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.
Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.
Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.
Северна Корея: От криптовалути до шпионаж
Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.
KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.
Руски групи: Нови играчи и подобрени инструменти
Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.
Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.
Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.