وفقًا لتقرير باحثي ESET ، واصلت مجموعات APT المرتبطة بروسيا المشاركة في العمليات التي تستهدف أوكرانيا على وجه التحديد ، باستخدام مساحات البيانات المدمرة وبرامج الفدية خلال هذه الفترة. بدأت Goblin Panda ، وهي مجموعة تابعة للصين ، في نسخ اهتمام موستانج باندا بالدول الأوروبية. تعمل الجماعات المرتبطة بإيران أيضًا على مستوى عالٍ. إلى جانب Sandworm ، استمرت مجموعات APT الروسية الأخرى مثل Callisto ، Gamaredon في هجمات التصيد الاحتيالي التي تستهدف مواطني أوروبا الشرقية.
النقاط البارزة في تقرير نشاط ESET APT هي كما يلي:
اكتشفت ESET أن مجموعة Sandworm سيئة السمعة في أوكرانيا تستخدم برنامج ممسحة بيانات لم يكن معروفًا من قبل ضد شركة في قطاع الطاقة. عادة ما يتم تنفيذ عمليات مجموعات APT من قبل الدولة أو المشاركين برعاية الدولة. وجاء الهجوم في نفس الوقت الذي شنت فيه القوات المسلحة الروسية ضربات صاروخية استهدفت البنية التحتية للطاقة في أكتوبر تشرين الأول. في حين أن ESET لا يمكنها إثبات التنسيق بين هذه الهجمات ، إلا أنها تتصور أن يكون للديدان الرملية والجيش الروسي نفس الهدف.
صنفت ESET على NikoWiper الأحدث في سلسلة من برامج مسح البيانات التي تم اكتشافها سابقًا. تم استخدام هذا البرنامج ضد شركة تعمل في قطاع الطاقة في أوكرانيا في أكتوبر 2022. يعتمد NikoWiper على SDelete ، وهي أداة مساعدة لسطر الأوامر تستخدمها Microsoft لحذف الملفات بأمان. بالإضافة إلى البرامج الضارة الخاصة بمسح البيانات ، اكتشفت ESET هجمات Sandworm التي تستخدم برامج الفدية كممسحة. على الرغم من استخدام برامج الفدية في هذه الهجمات ، فإن الغرض الرئيسي منها هو تدمير البيانات. على عكس هجمات برامج الفدية الشائعة ، لا يوفر مشغلو Sandworm مفتاح فك التشفير.
في أكتوبر 2022 ، اكتشفت إسيت برستيج رانسوم وير على أنها تُستخدم ضد شركات الخدمات اللوجستية في أوكرانيا وبولندا. في نوفمبر 2022 ، تم اكتشاف برنامج فدية جديد مكتوب في .NET يسمى RansomBoggs في أوكرانيا. جعلت ESET Research هذه الحملة علنية على حساب Twitter الخاص بها. إلى جانب Sandworm ، واصلت مجموعات APT الروسية الأخرى مثل Callisto و Gamaredon هجمات التصيد الاحتيالي المستهدفة الأوكرانية لسرقة بيانات الاعتماد وزرع الغرسات.
اكتشف باحثو ESET أيضًا هجوم تصيد MirrorFace الذي استهدف السياسيين في اليابان ، ولاحظوا تحولًا طوريًا في استهداف بعض المجموعات المرتبطة بالصين - بدأت Goblin Panda في نسخ اهتمام Mustang Panda بالدول الأوروبية. في نوفمبر ، اكتشفت ESET بابًا خلفيًا جديدًا لـ Goblin Panda تسميه TurboSlate في وكالة حكومية في الاتحاد الأوروبي. واصلت موستانج باندا أيضًا استهداف المنظمات الأوروبية. في سبتمبر ، تم التعرف على لودر Korplug الذي تستخدمه Mustang Panda في مؤسسة في قطاع الطاقة والهندسة في سويسرا.
كما واصلت الجماعات المرتبطة بإيران هجماتها - بدأت POLONIUM في استهداف الشركات الإسرائيلية وكذلك الشركات الأجنبية التابعة لها ، ومن المحتمل أن MuddyWater قد اخترقت مزود خدمة أمنية نشط.
استخدمت المجموعات المرتبطة بكوريا الشمالية نقاط الضعف الأمنية القديمة للتسلل إلى شركات العملات المشفرة والبورصات حول العالم. ومن المثير للاهتمام ، أن كوني وسع اللغات التي استخدمها في وثائقه الفخارية ، مضيفًا اللغة الإنجليزية إلى قائمته ؛ مما قد يعني أنها لا تركز على أهدافها المعتادة في روسيا وكوريا الجنوبية.
كن أول من يعلق