Αυτό προκύπτει από την τελευταία Έκθεση Δραστηριότητας Ομάδων APT (APT Activity Report), που δημοσίευσε η ESET και συνοψίζει τις αναφορές σχετικά με επιλεγμένες ομάδες προηγμένων επίμονων απειλών (APT), που παρατηρήθηκαν μεταξύ Σεπτεμβρίου και τέλους Δεκεμβρίου 2022. 

Κατά τη διάρκεια αυτής της περιόδου, οι ομάδες APT, που πρόσκεινται στη Ρωσία, συνέχισαν να εμπλέκονται ιδιαίτερα σε επιχειρήσεις με στόχο την Ουκρανία, αναπτύσσοντας καταστροφικά wipers (λογισμικό διαγραφής δεδομένων) και ransomware. Ειδικότερα, η ESET εντόπισε την περιβόητη ομάδα Sandworm να χρησιμοποιεί ένα άγνωστο μέχρι στιγμής λογισμικό διαγραφής δεδομένων (wiper) εναντίον εταιρείας του ενεργειακού τομέα.

Η ESET ονόμασε το τελευταίο wiper, NikoWiper. Αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε εναντίον μιας εταιρείας στον τομέα της ενέργειας στην Ουκρανία τον Οκτώβριο του 2022. Το NikoWiper βασίζεται στο SDelete, ένα βοηθητικό πρόγραμμα γραμμής εντολών της Microsoft, που χρησιμοποιείται για την ασφαλή διαγραφή αρχείων.

Εκτός από το κακόβουλο λογισμικό που διαγράφει δεδομένα, η ESET εντόπισε επιθέσεις της ομάδας Sandworm, που χρησιμοποιούν κακόβουλο λογισμικό ransomware ως wiper. Σε αυτές τις επιθέσεις, παρ’ όλο που χρησιμοποιήθηκε ransomware, ο τελικός στόχος ήταν ο ίδιος με αυτόν των wipers: καταστροφή δεδομένων. Σε αντίθεση με τις παραδοσιακές επιθέσεις ransomware, οι χειριστές του Sandworm δεν προσφέρουν κλειδί αποκρυπτογράφησης.

Και άλλα μέτωπα

Στο μεταξύ, οι ερευνητές της ESET εντόπισαν, επίσης, μια εκστρατεία spearphishing του MirrorFace, που στόχευε τις πολιτικές αρχές της Ιαπωνίας και παρατήρησαν μια σταδιακή αλλαγή στη στόχευση ορισμένων ομάδων που πρόσκεινται στην Κίνα - η ομάδα Goblin Panda άρχισε να αντιγράφει το ενδιαφέρον της Mustang Panda για τις ευρωπαϊκές χώρες.

Τον περασμένο Νοέμβριο, η ESET εντόπισε ένα νέο backdoor της Goblin Panda, το οποίο ονόμασε TurboSlate, σε κυβερνητικό οργανισμό στην Ευρωπαϊκή Ένωση. Η ομάδα Mustang Panda συνέχισε επίσης να έχει στο στόχαστρό της ευρωπαϊκούς οργανισμούς.

Τον περασμένο Σεπτέμβριο, οι ερευνητές της ESET εντόπισαν έναν Korplug loader, που χρησιμοποιείται από την ομάδα Mustang Panda σε έναν οργανισμό στον τομέα ενέργειας της Ελβετίας.

Επιπλέον, ομάδες που πρόσκεινται στη Βόρεια Κορέα, χρησιμοποίησαν παλιά exploits για να θέσουν σε κίνδυνο εταιρείες και ανταλλακτήρια κρυπτονομισμάτων σε διάφορα μέρη του κόσμου. Είναι ενδιαφέρον ότι η Konni έχει επεκτείνει το ρεπερτόριο των γλωσσών που χρησιμοποιεί στα έγγραφα παραπλάνησης για να συμπεριλάβει τα αγγλικά, πράγμα που σημαίνει ότι μπορεί να μην περιορίζεται στους συνήθεις στόχους σε Ρωσία και Νότια Κορέα.

Τέλος, οι ομάδες που πρόσκεινται στο Ιράν συνέχισαν επίσης τις επιθέσεις τους - εκτός από τις ισραηλινές εταιρείες, η POLONIUM έβαλε στο στόχαστρο ξένες θυγατρικές των ισραηλινών εταιρειών, ενώ η ομάδα MuddyWater πιθανότατα έθεσε σε κίνδυνο έναν πάροχο υπηρεσιών ασφαλείας.