ESET, specialista europeo globale nel mercato della cybersecurity, ha pubblicato l’ultimo Report sulle attività dei gruppi APT (Advanced Persistent Threat) presi in analisi dai ricercatori tra aprile e settembre di quest’anno: il ESET APT Activity Report 2023. In particolare, ESET Research ha osservato diversi gruppi APT che sfruttano vulnerabilità note per esfiltrare dati da enti governativi o organizzazioni correlate. Il report analizza le campagne persistenti dei gruppi allineati alla Cina nell’Unione Europea e l’evoluzione della cyber-war della Russia in Ucraina che dal sabotaggio si spinge verso lo spionaggio.
Sednit e Sandworm, filo-russi, Konni, allineato alla Corea del Nord, e Winter Vivern e SturgeonPhisher, geograficamente non attribuibili, hanno colto l’opportunità di sfruttare le vulnerabilità di WinRAR (Sednit, SturgeonPhisher e Konni), Roundcube (Sednit e Winter Vivern), Zimbra (Winter Vivern) e Outlook per Windows (Sednit) per colpire varie organizzazioni governative, non solo in Ucraina ma anche in Europa e in Asia centrale. Per quanto riguarda gli attori delle minacce affiliati alla Cina, GALLIUM ha probabilmente sfruttato le vulnerabilità dei server Microsoft Exchange o IIS, estendendo il proprio obiettivo dagli operatori di telecomunicazioni a organizzazioni governative di tutto il mondo. MirrorFace ha probabilmente approfittato di falle del servizio di archiviazione online Proself e TA410 si presume abbia sfruttato le vulnerabilità del server applicativo Adobe ColdFusion.
I gruppi allineati all’Iran e al Medio Oriente hanno continuato a operare a pieno ritmo, concentrandosi principalmente sullo spionaggio e sul furto di dati da organizzazioni presenti in Israele. In particolare, MuddyWater, affiliato all’Iran, ha preso di mira anche un bersaglio di cui non si conosce l’identità in Arabia Saudita, distribuendo un payload che fa pensare alla possibilità che l’autore dell’attacco serva come team di sviluppo per un gruppo più avanzato.
L’obiettivo principale dei gruppi allineati alla Russia è rimasto l’Ucraina, dove ESET ha rilevato nuove versioni dei wiper già noti RoarBat e NikoWiper e un nuovo wiper che è stato denominato SharpNikoWiper, tutti distribuiti da Sandworm. È interessante notare che mentre altri gruppi – come Gamaredon, GREF e SturgeonPhisher – hanno come obiettivo gli utenti di Telegram per cercare di esfiltrare informazioni, o almeno alcuni metadati relativi a Telegram, Sandworm utilizza attivamente questo servizio al fine di pubblicizzare le proprie operazioni di cybersabotaggio. Tuttavia, il gruppo più attivo in Ucraina ha continuato a essere Gamaredon, che ha migliorato in modo significativo le proprie capacità di raccolta dati, rielaborando gli strumenti esistenti e implementandone di nuovi.
I gruppi allineati alla Corea del Nord hanno continuato a concentrarsi sul Giappone, sulla Corea del Sud e sulle organizzazioni presenti nel Paese, utilizzando e-mail di spear phishing accuratamente realizzate. Lo schema Lazarus più attivo osservato è rappresentato dall’Operazione DreamJob, che ha attirato gli obiettivi con false offerte di lavoro per posizioni remunerative. Questo gruppo ha dimostrato di essere in grado di creare malware per tutte le principali piattaforme desktop.
Infine, i ricercatori di ESET hanno scoperto le attività di tre gruppi precedentemente non identificati allineati alla Cina: DigitalRecyclers, che ha ripetutamente compromesso un’organizzazione governativa nell’UE; TheWizards, che ha condotto attacchi adversary-in-the-middle e PerplexedGoblin, che ha preso di mira un’altra organizzazione governativa nell’UE.
Gli ESET APT Activity Report contengono solo una parte dei dati di intelligence sulla cybersecurity forniti ai clienti. ESET realizza report tecnici approfonditi e aggiornamenti frequenti sulle attività di gruppi APT specifici sotto forma di ESET APT Reports PREMIUM per aiutare le organizzazioni incaricate di proteggere i cittadini, le infrastrutture critiche nazionali e le risorse di alto valore dai cyberattacchi criminali e diretti dagli Stati nazionali. Le informazioni dettagliate sulle attività descritte in questo documento sono state quindi fornite in precedenza esclusivamente ai clienti Premium di ESET.
