מחלקת המחקר של חברת אבטחת המידע ESET משחררת את דוח פעילות קבוצות התקיפה החדש, שעוסק בפעולותיהן של קבוצות תקיפה (Advanced Persistent Threat - APT) נבחרות שתועדו ע"י חוקרי ESET מאפריל 2024 ועד סוף ספטמבר 2024.
ESET זיהתה התרחבות משמעותית בהיקף המטרות של קבוצת MirrorFace, שמזוהה עם סין. הקבוצה, שעד לאחרונה התמקדה במטרות יפניות, הרחיבה את פעילותה, ולראשונה פגעה בארגון דיפלומטי באיחוד האירופי, בזמן שהיא ממשיכה בתקיפת מטרות יפניות.
קבוצות ה-APT המזוהות עם סין מסתמכות יותר ויותר על SoftEther - שירות VPN שמבוסס על קוד פתוח ותומך בפלטפורמות מרובות - כדי לשמר גישה לרשתות של קורבנותיהן לאורך זמן. בנוסף, החוקרים זיהו אינדיקציות אפשריות לכך שקבוצות המזוהות עם איראן משתמשות ביכולות הסייבר שלהן כדי לתמוך במאמצי הריגול הדיפלומטי של המדינה ואף במבצעים ההתקפיים שלה.
"בנוגע לקבוצות האיום המזוהות עם סין, זיהינו שימוש נרחב של Flax Typhoon בשירות ה-VPN SoftEther, ראינו מעבר של Webworm משימוש בדלת אחורית מלאה להסתמכות על SoftEther VPN Bridge במחשבים השייכים לארגונים ממשלתיים באיחוד האירופי, וכן הבחנו בהפעלה של שרתי SoftEther VPN אצל ספקי תקשורת אפריקאים ע"י GALLIUM", מסביר מנהל מחלקת המחקר ב-ESET, ז'אן-יאן בוטין. "לראשונה זיהינו מתקפה של MirrorFace שמכוונת לארגון דיפלומטי באיחוד האירופי, אזור שממשיך להוות מוקד עניין עבור מספר גורמי איום המזוהים עם סין, צפון קוריאה ורוסיה. רבות מהקבוצות מתמקדות בעיקר ביישויות ממשלתיות ובסקטור הביטחון", הוא מוסיף.
קבוצות המזוהות עם איראן הצליחו לפרוץ למספר חברות הנותנות שירותים כספיים באפריקה - יבשת בעלת חשיבות גאו-פוליטית לאיראן וביצעו ריגול סייבר מול עיראק ואזרבייג'אן, מדינות להן גבול משותף ויחסים מורכבים עם איראן.
איראן? בהחלט הגיוני
בישראל, חברה מתחום התחבורה הייתה מטרה של קבוצת MuddyWater שהקדישה משאבים רבים להטמעה ושימוש בכלים שונים בתוך הארגון. המפעילים השקיעו זמן בתנועה רוחבית ברשת, איסוף אישורים ומידע נוסף לצורך הוצאתו מחוץ לרשת. פעילות כזו, על אף שאינה נדירה בקרב קבוצות רבות, היא יחסית יוצאת דופן עבור קבוצת התקיפה ומעידה על עניין מוגבר בתחום התחבורה. לנוכח המתחים והעימותים הנוכחיים במזרח התיכון, הגיוני שקבוצות המיוחסות לאיראן יכוונו לתעשיות קריטיות כמו תחבורה.
כל אלו נראים יכולים להיראות כמו התמקדות גיאוגרפית מצומצמת למדי, אך הקבוצות המזוהות עם איראן ממשיכות להתמקד בעולם כולו, וניסו לתקוף משלחות דיפלומטיות בצרפת וארגונים חינוכיים בארה"ב. באופן כללי, במזרח התיכון, מספר קבוצות APT המזוהות עם איראן ממשיכות לתקוף ארגונים ממשלתיים, כשישראל היא זו שהתמודדה עם היקף המתקפות הגדול ביותר.
גורמי האיום המזוהים עם צפון קוריאה המשיכו בניסיונותיהם לגנוב כספים - גם מטבעות סטנדרטיים וגם מטבעות דיגיטליים. זיהינו כי הקבוצות האלה ממשיכות במתקפותיהן על חברות ביטחוניות וחברות תעופה באירופה ובארה"ב, ובנוסף לכך תוקפות מפתחי מטבעות דיגיטליים, צוותי חשיבה ועמותות. אחת מהקבוצות האלה, Kimusky, החלה להשתמש באופן זדוני בקבצי Microsoft Management Console - קבצים שבדרך כלל משמשים רק מנהלי מערכת, אך יכולים לבצע כל פעולת Windows שהיא.
בנוסף, מספר קבוצות המזוהות עם צפון קוריאה ניצלו לרעה שירותי ענן פופולריים. חוקרי ESET זיהו תקיפות חוזרות ונשנות כלפי שרתי דוא"ל מקוונים כמו RoundCube ו-Zimbra מצד קבוצות המזוהות עם רוסיה, כשהמתקפות בוצעו בדרך כלל באמצעות הודעות פישינג ממוקדות המפעילות פרצות XSS ידועות.
תשמרו על הדואר שלכם
בנוסף לקבוצת Sednit שתוקפת ישויות ממשלתיות, אקדמיות וביטחוניות בכל רחבי העולם, ESET זיהתה קבוצה נוספת המזוהה עם רוסיה - GreenCube - שגונבת הודעות דוא"ל באמצעות פרצות XSS ב-Roundcube. קבוצות אחרות המזוהות עם רוסיה המשיכו להתמקד באוקראינה - Gamerdon הפעילו קמפייני פישינג ממוקד נרחבים, ובמקביל שיפרו את הכלים שלהם לניצול תוכנות המסרים Telegram ו-Signal. בנוסף, קבוצת Sandworm השתמשה בדלת האחורית החדשה שלה למערכות Windows - WrongSens.
ESET ניתחה פעולת פריצה והדלפה ציבורית שבוצעה נגד סוכנות פולנית למניעת שימוש בסמים בספורט, שככל הנראה נפרצה באמצעות ברוקר גישה ראשונית (Initial Access Broker), שלאחר מכן אפשר ל-FrostyNeighbor, קבוצת APT המזוהה עם בלארוס ועומדת מאחורי קמפייני דיס-אינפורמציה מבוססי-סייבר נגד NATO, לגשת למערכות שלהם. באסיה, ESET זיהתה שרב הקמפיינים ממשיכים להתמקד במטרות ממשלתיות. עם זאת, גוף המחקר זיהה גם התמקדות הולכת וגדלה בסקטור החינוכי, ובמיוחד בחוקרים ובאקדמאים המתמקדים בחצי האי הקוריאני ובדרום-מזרח אסיה. השינוי הזה נובע מגורמי איום המזוהים עם האינטרסים של סין וצפון קוריאה. קבוצת Lazarus, אחת מהקבוצות המזוהות עם צפון קוריאה, המשיכה לתקוף ישויות בסקטור הכספים והטכנולוגיה מכל רחבי העולם.