ESET APT Activity Report Q2-Q3 2023

Der ESET APT Activity Report Q2-Q3 2023 fasst die Aktivitäten ausgewählter Advanced Persistent Threat (APT)-Gruppen zusammen, die von ESET-Forschern von April 2023 bis Ende September 2023 beobachtet, untersucht und analysiert wurden.

In der beobachteten Zeitspanne haben wir eine bemerkenswerte Strategie von APT-Gruppen beobachtet, die bekannte Schwachstellen ausnutzen, um Daten von Regierungsstellen oder verwandten Organisationen zu exfiltrieren. Die mit Russland verbündeten Sednit und Sandworm, die mit Nordkorea verbündeten Konni sowie die geografisch nicht zugeordneten Winter Vivern und Sturgeon Phisher nutzten die Gelegenheit, Schwachstellen in WinRAR (Sednit, SturgeonPhisher und Konni), Roundcube (Sednit und Winter Vivern), Zimbra (Winter Vivern) und Outlook für Windows (Sednit) auszunutzen, um verschiedene Regierungsorganisationen in der Ukraine, Europa und Zentralasien anzugreifen.

Was die aus China stammenden Bedrohungsakteure betrifft, so nutzte GALLIUM wahrscheinlich Schwachstellen in Microsoft Exchange-Servern oder IIS-Servern aus, um sein Ziel von Telekommunikationsbetreibern auf Regierungsorganisationen in der ganzen Welt auszudehnen; MirrorFace nutzte wahrscheinlich Schwachstellen im Online-Speicherdienst Proself aus; und TA410 nutzte wahrscheinlich Schwachstellen im Adobe ColdFusion-Anwendungsserver aus.

Mit dem Iran und dem Nahen Osten verbündete Gruppen operierten weiterhin in großem Umfang, wobei sie sich hauptsächlich auf Spionage und Datendiebstahl bei Organisationen in Israel konzentrierten. Die mit dem Iran verbündete Gruppe MuddyWater zielte auch auf eine nicht identifizierte Einrichtung in Saudi-Arabien ab, wobei sie eine Payload bereitstellte, die darauf schließen lässt, dass dieser Bedrohungsakteur möglicherweise als "Zugriffsentwicklungsteam" für eine fortgeschrittenere Gruppe dient.

Das Hauptziel der mit Russland verbündeten Gruppen blieb die Ukraine, wo wir neue Versionen der bekannten Wiper RoarBat und NikoWiper sowie einen neuen Wiper namens SharpNikoWiper entdeckten, die alle von Sandworm eingesetzt wurden. Interessant ist, dass andere Gruppen - wie Gamaredon, GREF und SturgeonPhisher - Telegram-Benutzer angreifen, um Informationen oder zumindest einige Telegram-bezogene Metadaten zu exfiltrieren, während Sandworm diesen Dienst aktiv für aktive Maßnahmen nutzt und für seine Cybersabotage-Operationen wirbt. Die aktivste Gruppe in der Ukraine ist jedoch nach wie vor Gamaredon, die ihre Fähigkeiten zum Sammeln von Daten durch die Neuentwicklung bestehender und den Einsatz neuer Tools erheblich verbessert hat.

Mit Nordkorea verbündete Gruppen konzentrierten sich weiterhin auf Japan, Südkorea und auf Südkorea ausgerichtete Einrichtungen und setzten sorgfältig gestaltete Spearphishing-E-Mails ein. Die aktivste Lazarus-Masche, die beobachtet wurde, war die Operation DreamJob, bei der die Zielpersonen mit gefälschten Stellenangeboten für lukrative Positionen gelockt wurden. Diese Gruppe hat immer wieder bewiesen, dass sie in der Lage ist, Malware für alle wichtigen Desktop-Plattformen zu erstellen. Schließlich deckten unsere Forscher die Aktivitäten von drei bisher nicht identifizierten, mit China verbundenen Gruppen auf: DigitalRecyclers, die wiederholt eine Regierungsorganisation in der EU kompromittierten; TheWizards, die Adversary-in-the-Middle-Angriffe durchführten; und PerplexedGoblin, die es auf eine andere Regierungsorganisation in der EU abgesehen hatten.

Die im ESET APT Activity Report Q2-Q3 2023 beschriebenen bösartigen Aktivitäten werden von ESET-Produkten erkannt; die geteilten Informationen basieren größtenteils auf proprietären ESET-Telemetriedaten und wurden von ESET-Forschern verifiziert.

Zu den Ländern, Regionen und Branchen, die von den in diesem Bericht beschriebenen APT-Gruppen betroffen sind, gehören: