6 aylık periyotlarla yayınlanan raporda Avrupalı şirketler, Ke3chang ve Mustang Panda gibi Çin bağlantılı tehdit aktörleri üzerinde duruluyor. İsrail’de, İran bağlantılı grup, OilRig, yeni bir özel afterdoor konuşlandırdı. Kuzey Kore-iletişim kümeleri, Güney Kore’deki ve Güney Kore ile ilgili şirketlere odaklanmaya devam etti. Rusya ile bağlantılı APT kümeleri özellikle Ukrayna ve AB ülkelerinde aktifti. Sandworm yüklü silecekler.
ESET APT Yıllık Raporunda tanımlanan kötü amaçlı etkinlikler, ESET teknolojisi tarafından algılanır. ESET Tehdit Araştırma Müdürü Jean-Ian Boutin şunları söyledi: “ESET ürünleri, müşterilerimizin sistemlerini bu raporda belirtilen kötü niyetli faaliyetlere karşı koruyor. Burada paylaşılan bilgiler çoğunlukla tescilli ESET telemetrisine dayanmaktadır ve ESET Research tarafından doğrulanmıştır.”
Mustang Panda iki yeni arka kapı kullanırken Çin ile temasa geçen Ke3chang, yeni bir Ketrican varyantını dağıtmak için yola çıktı. MirrorFace Japonya’yı hedef alıp yeni berbat hedefli yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Operasyonu Filipinler’deki bir kumar şirketini devralarak ana dayanak acentelerini hedef aldı. Hindistan’a bağlı kümeler SideWinder ve Donot Team, Güney Asya’daki devlet kurumlarını hedef almaya devam ederken, SideWinder Çin’deki eğitim bölümünü hedef aldı ve Donot Team, kötü şöhretli yty çerçevesini ve ayrıca piyasadaki Remcos RAT’ı geliştirmeye devam etti. görevlendirildi. Ayrıca ESET, Güney Asya’da çok sayıda Zimbra web postası kimlik avı girişimi tespit etti.
Polonya’daki bir savunma şirketinin çalışanlarını Boeing içeriği içeren sahte bir iş teklifiyle hedeflemenin yanı sıra, Kuzey Kore ile ilgili bir küme olan Lazarus, bir Accenture içerik beslemesi kullanan olağan niyetlerinin aksine, Hindistan’daki bir veri yönetimi şirketine de odaklandı. Ayrıca ESET, kampanyalarından birinde kullandıkları kötü amaçlı bir Linux tespit etti. Bu yeni keşfedilen kötü amaçlı yazılımla olan benzerlikler, kötü şöhretli Kuzey Kore bağlantılı kümenin 3CX tedarik zinciri saldırısının arkasında olduğu teorisini destekliyor.
Rusya ile temas halinde olan APT kümeleri özellikle Ukrayna ve AB ülkelerinde aktifti. Bu kümeler, siliciyi yükleyen Sandworm’u (ESET’in SwiftSlicer olarak adlandırdığı başka bir yeni) ve ayrıca yanıltıcı kimlik avı e-postaları gönderen Gamaredon, Sednit ve Dukes’u kullandı. Bunun bir örneğini Dukes’da olduğu gibi Brute Ratel olarak bilinen kırmızı bantlı implant uygulamasında görmekteyiz. Son olarak ESET, daha önce bahsettiğimiz Zimbra e-posta platformunun özellikle Avrupa’da aktif olan Winter Vivern tarafından kötüye kullanıldığını ve amaçlı kimlik avı ile Orta Asya ülkelerinin hükümet üyelerini hedef alan SturgeonPhisher kümesinin etkinliğinde değerli bir azalma olduğunu tespit etti. e-postalar. kaydedildi. Bu algılamanın ardından ESET, kümenin kendini yenileme durumuna girdiğini düşünür. (BSHA)
