ESET Research Q4 2022 ve Q1 2023, bazı APT gruplarının faaliyetleri hakkında araştırma ve analizlere genel bakış.
ESET APT Faaliyet Raporu Q4 2022–Q1 2023, ESET araştırmacıları tarafından Ekim 2022’den Mart 2023 sonuna kadar izlenen, araştırılan ve analiz edilen belirli gelişmiş kalıcı tehdit (APT) gruplarının etkinliklerini özetliyor. Dikkatli okuyucular, raporun küçük bir bölümünün daha önce 2022 Q3 APT Faaliyet Raporu’ndaki bazı olaylardan da bahsettiğini fark edeceklerdir. Bu durum, 2022’nin 4. çeyreği ve 2023’ün 1. çeyreğini kapsayacak şekilde bu raporu altı ayda bir yayınlama kararımızdan kaynaklanıyor ve bir sonraki rapor 2023’ün 2. ve 3. çeyreğini kapsayacaktır.
Araştırma yapılan sürede, Çin bağlantılı birkaç tehdit aktörü, Ke3chang tarafından yeni bir Ketrican varyantı dağıtıldı ve Mustang Panda iki yeni arka kapı kullanmak gibi yöntemler ile Avrupa’daki kuruluşlara odaklandı.
MirrorFace, Japonyayı hedef aldı ve yeni kötü amaçlı yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Operasyonu destek temsilcilerini hedef alarak Filipinler’deki bir kumar şirketini ele geçirdi. Hindistan’a bağlı gruplar SideWinder ve Donot Team, Güney Asya’daki hükumet kurumlarını hedef almaya devam ederken, SideWinder Çin’deki eğitim sektörünü hedef aldı ve Donot Team, kötü üne sahip yty çerçevesini geliştirmeye devam etti, ancak aynı zamanda piyasadaki Remcos RAT’ı da devreye aldı. Ayrıca Güney Asya’da çok sayıda Zimbra web postası kimlik avı girişimi tespit ettik.
Orta Doğu’da, İran bağlantılı MuddyWater grubu bu dönemde araçlarını kurbanlarına dağıtmak için SimpleHelp kullanmayı bıraktı ve PowerShell betiklerine geçti. İsrail’de OilRig, Mango olarak adlandırdığımız yeni bir özel arka kapı ve SC5k indiricisi kullanırken, POLONIUM değiştirilmiş bir CreepySnail kullandı.
ScarCruft, Andariel ve Kimsuky gibi Kuzey Kore bağlantılı gruplar, her zamanki araç setlerini kullanarak Güney Kore’deki ve Güney Kore bağlantılı şirketlere odaklanmaya devam etti. Lazarus, Boeing içeriğine sahip sahte bir iş teklifiyle Polonya’daki bir savunma şirketinin çalışanlarını hedeflemenin yanı sıra, Accenture içerikli bir yem kullanarak her zamanki hedeflerden farklı olarak Hindistan’daki bir veri yönetimi şirketine odaklandı. Ayrıca, kampanyalarından birinde kullandıkları bir Linux kötü amaçlı yazılımını da belirledik.
Rusya ile bağlantılı APT grupları özellikle Ukrayna ve AB ülkelerinde aktifti. Bu gruplar, silici yerleştiren Sandworm’un (SwiftSlicer olarak adlandırdığımız yeni bir tane daha) yanı sıra Gamaredon, Sednit ve hedefe yönelik kimlik avı e-postaları gönderen Dukes kullandı. Bunun bir örneğine Dukes’da olduğu gibi Brute Ratel olarak bilinen kırmızı bir ekip implantının uygulanmasında rastlıyoruz. Son olarak, daha önce bahsettiğimiz Zimbra e-posta platformunun özellikle Avrupa’da aktif bir grup olan Winter Vivern tarafından da suistimal edildiğini tespit ettik ve hedefe yönelik kimlik avı e-postaları ile Orta Asya ülkelerinin hükumet üyelerini hedef alan SturgeonPhisher grubunun faaliyetlerinde önemli bir azalma kaydettik. Bu tespitten sonra, grubun şu anda kendini yenilediğini düşünüyoruz.
ESET APT Etkinlik Raporu Q4 2022–Q1 2023’te açıklanan kötü amaçlı etkinlikler ESET ürünleri tarafından algılanır; paylaşılan istihbarat çoğunlukla tescilli ESET telemetrisine dayanır ve ESET Research tarafından doğrulanmıştır.
Bu raporda açıklanan APT gruplarından etkilenen ülkeler, bölgeler ve sektörler:
Hedef ülkeler ve bölgeler:
- Avustralya
- Bangladeş
- Bulgaristan
- Orta Asya
- Çin
- Mısır
- Avrupa
- Hong Kong
- Hindistan
- İsrail
- Japonya
- Namibya
- Nepal
- Pakistan
- Filipinler
- Polonya
- Suudi Arabistan
- Güney Kore
- Güneybatı Asya
- Sri Lanka
- Sudan
- Tayvan
- Ukrayna
- Birleşik Krallık
- Amerika Birleşik Devletleri
Hedef iş kolları:
- Veri yönetim şirketleri
- Savunma sanayi
- Diplomatlar
- Eğitim kurumları
- Enerji sektörü
- Finansal hizmetler
- Bahis şirketleri
- Hükumet organizasyonları
- Sağlık hizmetleri
- Konaklama
- Medya
- Araştırma enstitüleri
ESET APT Faaliyet Raporları, ESET APT Raporları PREMIUM müşterilerine sağlanan siber güvenlik istihbarat verilerinin yalnızca bir bölümünü içerir. Daha fazla bilgi için ESET Threat Intelligence web sitesini ziyaret edin.
ESET APT Faaliyet Raporu Q4 2022–Q1 2023
Önemli akımlar ve en yaygın tehditler ile ilgili düzenli güncellemeler için Twitter’da ESET research’ü takip edin.
2022’nin en büyük fidye yazılımı saldırıları
