TM_384

12 2|11|2023 #384 Η ESET δημοσίευσε τη νεότερη έκθεση σ χετικά με τις δραστηριότητες επιλεγ- μένων ομάδων προηγμένων επίμονων απειλών (APT) που παρατηρήθηκαν, ερευνήθηκαν και αναλύθηκαν από τους ερευνητές της ESET από τον Απρίλιο του 2023 έως το τέλος Σεπτεμβρίου 2023. Η έρευνα αποκαλύπτει πως οι ομάδες Sednit και Sandworm που πρόσκει- νται στη Ρωσία, η προσκείμενη στη Βόρεια Κορέα Konni και οι γεωγραφι- κά μη προσκείμενες Winter Vivern και SturgeonPhisher εκμεταλλεύτηκαν την ευκαιρία να χρησιμοποιήσουν ευπάθει- ες στο WinRAR (Sednit, SturgeonPhisher και Konni), στο Roundcube (Sednit και Winter Vivern), στο Zimbra (Winter Vivern) και στο Outlook for Windows (Sednit) για να επιτεθούν σε διάφορους κρατικούς οργανισμούς, όχι μόνο στην Ουκρανία, αλλά και στην Ευρώπη και την Κεντρική Ασία. Όσον αφορά στους φορείς απειλών που συνδέονται με την Κίνα, η ομάδα GALLIUM πιθανώς εκμε- ταλλεύτηκε αδυναμίες σε διακομιστές Microsoft Exchange ή διακομιστές IIS, επεκτείνοντας τη στόχευση φορέων εκ- μετάλλευσης τηλεπικοινωνιών και κρα- τικών οργανισμών σε όλο τον κόσμο – η MirrorFace πιθανόν εκμεταλλεύτηκε ευπάθειες στην υπηρεσία ηλεκτρονι- κής αποθήκευσης Proself – και η ομάδα TA410 πιθανόν εκμεταλλεύτηκε ελατ- τώματα στον διακομιστή εφαρμογών Adobe ColdFusion. Οι ομάδες που πρόσκεινται στο Ιράν και τις χώρες της Μέσης Ανατολής συ- νέχισαν να δραστηριοποιούνται σε με- γάλο βαθμό, εστιάζοντας κυρίως στην κατασκοπεία και την κλοπή δεδομένων από οργανισμούς στο Ισραήλ. Αξίζει να σημειωθεί ότι η MuddyWater, η οποία πρόσκειται στο Ιράν, επιτέθηκε επίσης σε μια άγνωστη οντότητα στη Σαουδι- κή Αραβία, αναπτύσσοντας ένα payload που υποδηλώνει την πιθανότητα αυτός ο φορέας απειλής να λειτουργεί ως ομάδα ανάπτυξης πρόσβασης για κάποια άλλη, πιο προηγμένη ομάδα. Ο πρωταρχικός στόχος των ομάδων που συνδέονται με τη Ρωσία παρέμεινε η Ουκρανία, όπου ανακαλύψαμε νέες εκ- δόσεις των γνωστών wipers RoarBat και NikoWiper και ένα νέοwiper που ονομά- σαμε SharpNikoWiper, όλα αναπτυγμέ- να από την ομάδα Sandworm. Είναι ενδι- αφέρον ότι, ενώ άλλες ομάδες, όπως οι Gamaredon, GREF και SturgeonPhisher, έχουν ως στόχο χρήστες του Telegram για να προσπαθήσουν να κλέψουν πλη- ροφορίες ή κάποια μεταδεδομένα που σχετίζονται με το Telegram, η ομάδα Sandworm χρησιμοποιεί ενεργά αυτήν την υπηρεσία για σκοπούς ενεργών μέ- τρων, διαφημίζοντας τις επιχειρήσεις κυβερνοσαμποτάζ της. Ωστόσο, η πιο δραστήρια ομάδα στην Ουκρανία συ- νέχισε να είναι η Gamaredon, η οποία ενίσχυσε σημαντικά τις δυνατότητες συλλογής δεδομένων με την αναβάθμι- ση των υφιστάμενων εργαλείων και την ανάπτυξη νέων. Οι ομάδες που πρόσκεινται στη Βόρεια Κορέα συνέχισαν να επικεντρώνουν τη δραστηριότητά τους στην Ιαπωνία και τη Νότια Κορέα, χρησιμοποιώ- ντας προσεκτικά σχεδιασμένα spear phishing e-mails. Το πιο ενεργό σχήμα Lazarus που παρατηρήθηκε ήταν το Operation DreamJob, το οποίο δελεά- ζει τους στόχους με ψεύτικες προσφο- ρές για επικερδείς θέσεις εργασίας. Αυτή η ομάδα επέδειξε σταθερά την ικανότητά της να δημιουργεί κακό- βουλο λογισμικό για όλες τις μεγάλες πλατφόρμες υπολογιστών. Τέλος, οι ερευνητές της εταιρείας απο- κάλυψαν τις δραστηριότητες τριών ομάδων που συνδέονται με την Κίνα και δεν είχαν προηγουμένως αναγνωριστεί: της DigitalRecyclers, που επανειλημμέ- να έθεσε σε κίνδυνο έναν κρατικό ορ- γανισμό στην ΕΕ, της TheWizards, που πραγματοποιούσε επιθέσεις adversary- in-the-middle- και της PerplexedGoblin, που είχε ως στόχο έναν άλλο κρατικό ορ- γανισμό στην Ε.Ε. ESET Τα γεωπολιτικά παιχνίδια των κυβερνοεπιθέσεων Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα σειρά απειλών που δημοσιεύτηκαν στο package manager NuGet και χρησιμοποιούν μια σχετικά άγνωστη μέθοδο ανάπτυξης κακό- βουλου λογισμικού. Η εταιρεία κυβερνοασφάλειας που εξειδικεύε- ται στην ασφάλεια λογισμικών, ReversingLabs, περιέγραψε την εκστρατεία ως «συντονισμέ- νη» και «συνεχή» από την 1η Αυγούστου 2023, ενώ τη συνέδεσε με μια σειρά από κακόβουλα πακέτα NuGet, που παρατηρήθηκε ότι διοχεύ- τευαν ένα trojan απομακρυσμένης πρόσβασης με την ονομα- σία SeroXen RAT. «Οι απειλητικοί φορείς που βρίσκονται πίσω από αυτήν εί- ναι επίμονοι στην επιθυμία τους να τοποθετούν κακόβουλο λογισμικό στο αποθετήριο NuGet και να δη- μοσιεύουν συνεχώς νέα κακόβουλα πακέτα», δήλωσε ο Karlo Zanki, Reverse Engineer της ReversingLabs. «Αυτό είναι το πρώτο γνωστό παράδειγμα κα- κόβουλου λογισμικού που δημοσιεύεται στο package manager, NuGet και εκμεταλλεύεται το χαρακτηριστικό inline tasks για την εκτέλε- ση κακόβουλου λογισμικού», δήλωσε ο Zanki. Τα πακέτα που έχουν πλέον αφαιρεθεί παρου- σιάζουν παρόμοια χαρακτηριστικά, καθώς οι απειλητικοί φορείς που βρίσκονται πίσω από την επιχείρηση προσπάθησαν να αποκρύψουν τον κακόβουλο κώδικα, κάνο- ντας χρήση κενών και καρτελών για να τον μετακινήσουν από το οπτικό πεδίο του προεπιλεγμένου πλάτους της οθόνης. Εντοπίστηκαν απειλές στο NuGet