A ESET, empresa europeia líder em soluções de cibersegurança, lançou o seu relatório de atividade APT para o quarto trimestre de 2022 e primeiro trimestre de 2023, resumindo as atividades de certos grupos APT (“advanced persistent threat”) que foram observados, investigados e analisados por investigadores da ESET desde outubro de 2022 até ao final de março de 2023. Parte do relatório também menciona alguns eventos previamente cobertos pelo relatório de atividade APT do terceiro quadrimestre de 2022. Isto deve-se à decisão da ESET de lançar este relatório semianualmente, com a edição atual a cobrir o quarto trimestre de 2022 e primeiro de 2023, e a próxima a cobrir o segundo e terceiro trimestre de 2023.
Durante o período monitorizado, vários grupos cibercriminosos associados à China focaram os seus ataques em organizações europeias, aplicando táticas como a implementação de backdoors – malware que permite ultrapassar o processo de autenticação ou encriptação normal de um sistema. Por exemplo, o grupo Ke3chang implementou uma nova variante da backdoor Ketrican, enquanto o grupo Mustang Panda utilizou duas novas backdoors.
O grupo MirrorFace visou o Japão, recorrendo a novas formas de distribuir malware, enquanto a operação ChattyGoblin comprometeu uma empresa de jogo nas Filipinas através dos seus agentes de suporte.
Os grupos associados à Índia SideWinder e Donot Team continuaram a atacar instituições governamentais no Sul da Ásia, com o primeiro a focar-se no setor da educação na China e o segundo a desenvolver a sua framework yty, que consiste numa cadeia de downloaders cujo objetivo final é descarregar uma backdoor, mas também a implementar o RAT (trojan de acesso remoto) Remcos comercialmente disponível. Ainda no Sul da Ásia, a ESET detetou um alto número de tentativas de phishing na plataforma de webmail Zimbra.
No Médio Oriente, o grupo associado ao Irão MuddyWater parou de usar a ferramenta de acesso remoto SimpleHelp durante este período para distribuir malware pelas suas vítimas, optando por scripts PowerShell. Em Israel, o grupo OilRig implementou uma nova backdoor personalizada a que a ESET chamou Mango e o downloader SC5k, enquanto o grupo POLONIUM usou uma backdoor CreepySnail modificada.
Grupos associados à Coreia do Norte como o ScarCruft, Andariel e Kimsuky continuaram a focar-se na Coreia do Sul e entidades relacionadas usando as suas ferramentas habituais. Para além de visar os funcionários de uma empresa de defesa na Polónia com uma oferta de emprego da Boeing falsa, o grupo Lazarus também mudou o seu foco dos seus alvos tradicionais para uma empresa de gestão de dados na Índia, utilizando engenharia social temática da Accenture. A ESET identificou ainda malware Linux a ser implementado numa das suas campanhas.
Os grupos APT associados à Rússia estiveram especialmente ativos na Ucrânia e países da União Europeia, com o grupo Sandworm a distribuir wipers (malware que apaga dados), incluindo um novo a que a ESET chamou SwiftSlicer, e os grupos Gamaredon, Sednit e Dukes a utilizarem emails de spearphishing (phishing direcionado a alvos específicos).
Finalmente, a ESET detetou que a previamente mencionada plataforma de email Zimbra também foi explorada pelo grupo Winter Vivern, particularmente ativo na Europa, e notou uma redução significativa na atividade do grupo SturgeonPhisher, que normalmente se foca nos funcionários governamentais de países da Ásia Central com emails de spearphishing, levando a ESET a acreditar que o grupo está neste momento a reequipar-se.
As atividades maliciosas descritas neste relatório de atividade APT foram detetadas pelos produtos da ESET; a informação partilhada baseia-se principalmente em telemetria proprietária da ESET e foi verificada pela ESET Research. Leia o relatório completo aqui.
