| +22 голоса |
|
Огляд активності APT-груп кіберзлочинців за останні півроку підготувала компанія Eset. Зокрема групи, пов'язані з росією, такі як Sednit та Gamaredon, з жовтня 2024 до березня 2025 року продовжували націлюватися на Україну та країни ЄС. Найбільшої інтенсивності кібератак, спрямованих на критично важливу інфраструктуру та державні установи зазнала Україна. Так, наприклад, група Sandworm, також пов'язана з рф, посилила руйнівні атаки на українські енергетичні компанії, розгорнувши нову шкідливу програму Zerolot для знищення даних.
Варто зазначити, що APT-група – це угруповання висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їхньою метою є отримання конфіденційних даних урядових установ, високопосадовців або стратегічних компаній і при цьому уникнення виявлення. Такі групи кіберзлочинців мають великий досвід та використовують складні шкідливі інструменти та раніше невідомі уразливості.
При цьому найбільш активною групою, спрямованою на Україну, залишалася Gamaredon. Зловмисники вдосконалили обфускацію коду шкідливих програм та використовували PteroBox, програму для викрадення файлів із застосуванням Dropbox.
Інша російська група Sednit удосконалила використання уразливостей у вебпоштових сервісах, таких як RoundPress, Horde, Mdaemon та Zimbra. Також дослідники виявили, що група успішно використала «0-денні» уразливості в поштовому сервері MDaemon (CVE-2024-11182) для атак українських компаній. Тоді як у кількох атаках Sednit на компанії у сфері оборони, розташовані в Болгарії та Україні, поширювалися фішингові листи електронної пошти як приманка.
Ще одна група RomCom, пов'язана з рф, продемонструвала розширені можливості використання «0-денних» уразливостей у Mozilla Firefox (CVE 2024 9680) та Microsoft Windows (CVE 2024 49039). Активна принаймні з 2022 року, ця група націлюється на українські державні установи та оборонний сектор, а також членів НАТО та європейські урядові організації.
В Азії пов'язані з Китаєм APT-групи продовжували атакувати урядові та академічні установи. Водночас пов'язані з Північною Кореєю групи суттєво активізували свою діяльність, спрямовану на Південну Корею, а саме на окремих осіб, приватні компанії, посольства та дипломатичний персонал.
При цьому китайська група Mustang Panda залишалася найактивнішою групою, яка націлювалася на урядові установи та компанії з морських перевезень за допомогою завантажувача Korplug та шкідливих USB-накопичувачів. Інша група, пов'язана з Китаєм, DigitalRecyclers продовжила атакувати урядові установи ЄС, розгортаючи бекдори RClient, HydroRShell та GiftBox. Тоді як група Perplexed Goblin використала новий шпигунський бекдор NanoSlate, націлюючись на урядову установу у Центральній Європі.
В інших країнах Азії групи, пов'язані з Північною Кореєю, були особливо активними у фінансово мотивованих кампаніях. Одна з таких Deceptive Development значно розширила свої цілі, використовуючи підроблені списки вакансій, переважно пов'язані з криптовалютами, блокчейнами та фінансами. Група пустила в дію інноваційні методи соціальної інженерії для поширення мультиплатформенного шкідливого програмного забезпечення WeaselStore. Крадіжка криптовалюти Bybit, яка приписується APT-групі TraderTraitor, була пов'язана з компрометацією ланцюжка постачання Safe{Wallet}, що призвело до втрати приблизно 1,5 млрд дол.
APT-групи, пов'язані з Іраном, продовжили концентрувати свою увагу на регіоні Близького Сходу, орієнтуючись переважно на урядові організації, а також на підприємства виробничого та інженерного сектора в Ізраїлі.
Крім того, дослідники Eset спостерігали значне глобальне зростання кібератак на технологічні компанії, що значною мірою пов'язано зі збільшенням активності групи Deceptive Development, з Північної Кореї.
Kingston повертається у «вищу лігу» серверних NVMe SSD
| +22 голоса |
|
