Компания ESET – лидер в области информационной безопасности – подготовила обзор активности APT-групп киберпреступников в апреле-сентябре 2024 года. За последние шесть месяцев российские хакеры продолжали атаковать организации в Украине, в частности с помощью отправки электронных писем для получения начального доступа, а также использования уязвимостей для атак на серверы веб-почты. Кроме того, киберпреступники проводили новые дезинформационно-психологические операции, направленные на отдельные регионы Украины.
В частности, группа Gamaredon распространяла масштабные фишинговые кампании, используя мессенджеры Telegram и Signal. В июле 2024 года исследователи ESET обнаружили необычный компонент, развернутый группой Gamaredon, который открывает Telegram-канал "Хранители Одессы" в браузере по умолчанию. Этот канал наполнен российской пропагандой и направлен на жителей Одесской области.
Другая группа Sandworm использовала новый бэкдор для Windows под названием WrongSens (CERT-UA называет его QUEUESEED) и вредоносное программное обеспечение для Linux: LOADGRIP и BIASBOAT. Это сложные вредоносные программы для Linux, созданные разработчиками, которые хорошо понимают внутренние особенности Linux. Угрозы предназначены для работы только на целевых машинах, используя их идентификаторы для расшифровки компонента.
Кроме того, обнаруженная в феврале 2024 года дезинформационно-психологическая операция "Texonto" продолжала свою активность для деморализации украинцев. Злоумышленники преимущественно использовали электронную почту в качестве основного метода распространения сообщений. В частности, в сентябре 2024 года исследователи ESET обнаружили электронное письмо "Texonto", отправленное с DCHC@headlineinteresting[.]pro, вероятно, нацеленное на пользователей, проживающих в Сумской области. Текст электронного письма выглядел следующим образом:
Шановні жителі Сумської області!
Через російські авіаудари в регіоні почалися серйозні перебої з електроенергією та водопостачанням. Води і електрики не передбачається в найближчі три тижні.
Просимо вас в найближчі 48 годин придбати все необхідне для життя в екстрених умовах.
У вкладенні - рекомендації, які допоможуть вам пережити цей складний період. Обов'язково перепишіть їх на папір.
Другие группы киберпреступников, связанные с россией, часто атаковали серверы веб-почты, например, Roundcube и Zimbra, как правило с помощью фишинговых писем, которые запускают известные уязвимости XSS. Помимо злоумышленников Sednit, нацеленных в частности на правительственные и связанные с оборонной отраслью организации по всему миру, исследователи ESET обнаружили другую группу GreenCube. Эта група киберпреступников, связанная с россией, похищала электронные письма через уязвимости XSS в Roundcube. С 2022 по 2024 год группа GreenCube неоднократно нацеливалась на правительственные и оборонные организации в Греции, Польше, Сербии и Украине.
Исследователи ESET также обнаружили заметное увеличение количества целей группы MirrorFace, связанной с Китаем. Как правило, сосредоточенные на японских организациях, киберпреступники на этот раз также добавили в свои цели дипломатическую организацию в Европейском Союзе. Кроме того, APT-группы, связанные с Китаем, все больше использовали мультиплатформенную SoftEther VPN с открытым кодом для поддержки доступа к сетям жертв.
Тем временем группы, связанные с Ираном, могли использовать угрозы для дипломатического шпионажа. Эти группы скомпрометировали несколько компаний по предоставлению финансовых услуг в Африке, совершали кибершпионские действия против соседних стран – Ирака и Азербайджана. Кроме того, группы, связанные с Ираном, преследовали дипломатических представителей во Франции и образовательные организации в Соединенных Штатах Америки.
Связанные с Северной Кореей группы продолжали атаковать оборонные и аэрокосмические компании в Европе и США, а также нацелились на разработчиков криптовалют, аналитические центры и неправительственные организации. Одна из таких групп, Kimsuky, начала использовать файлы Microsoft Management Console, которые применяют системные администраторы и которые могут выполнять любые команды Windows. Кроме того, несколько других групп часто злоупотребляли популярными облачными сервисами, в частности, Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub и Bitbucket. Также впервые зафиксировано несанкционированное использование облачных сервисов Zoho APT-группой под названием ScarCruft.
Исследователи ESET заметили, что в странах Азии атаки киберпреступников были направлены преимущественно на правительственные организации, сосредотачиваясь и на образовательной отрасли. Группа Lazarus, связанная с Северной Кореей, продолжала атаковать финансовые и технологические компании по всему миру. На Ближнем Востоке несколько связанных с Ираном APT-групп продолжали атаковать правительственные организации, при этом Израиль больше всего пострадал от деятельности злоумышленников.
Стоит отметить, что APT-группа – это группировка высококвалифицированных хакеров, деятельность которых часто спонсируется определенным государством. Их целью является получение конфиденциальных данных правительственных учреждений, высокопоставленных лиц или стратегических компаний и при этом избежание обнаружения. Такие группы киберпреступников имеют большой опыт и используют сложные вредоносные инструменты и ранее неизвестные уязвимости.
Именно поэтому компаниям важно обеспечить максимальную защиту благодаря комплексному подходу к безопасности, в частности позаботиться о мощной защите устройств с помощью расширенного обнаружения и реагирования на угрозы, расширенного анализа в облаке и шифрования данных, а также понимать возможные векторы атак и особенности деятельности определенных групп, которые доступны именно в отчетах об APT-угрозах.
Исследователи ESET готовят подробную техническую информацию, постоянно обновляя данные о деятельности определенных APT-групп в форме расширенных отчетов, чтобы помочь соответствующим организациям защищать пользователей, критическую инфраструктуру и другие важные активы от целенаправленных кибератак.
О компании:
ESET - эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
ESET в Украине:
Почти 20 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи имеют возможность бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов компании ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.