Voor
het eerst is diplomatieke organisatie van de EU het doelwit van een groep
gelinkt aan China
· Dit ESET APT-rapport vat opmerkelijke activiteiten
samen van cyberdreigingsgroepen die door ESET-onderzoekers gevolgd werden van
april tot eind september 2024.
· Onderzoekers zagen aanwijzingen dat groepen gelinkt
aan Iran hun cybercapaciteiten inzetten om hun diplomatieke spionage uit te breiden.
· ESET analyseerde ook de hack van het Poolse Antidopingagentschap,
die wellicht uitgevoerd werd door een toegangsmakelaar die vervolgens de toegang
deelde met FrostyNeighbor, een APT-groep gelinkt aan Wit-Rusland.
· In Azië zag ESET campagnes die zich vooral op
overheidsorganisaties richtten met veel aandacht voor de onderwijssector met
vooral een grotere aandacht voor onderzoekers en academici.
"Voor aan China gelinkte dreigingsgroepen, ontdekten we een uitgebreid gebruik van de SoftEther VPN door Flax Typhoon, zagen we Webworm overschakelen van zijn backdoor naar het gebruik van de SoftEther VPN Bridge op machines van overheidsorganisaties in de EU, en zagen we GALLIUM SoftEther VPN-servers inzetten bij telecom bedrijven in Afrika," zegt Jean-Ian Boutin, directeur van Threat Research bij ESET. "Voor het eerst nam MirrorFace als doel een diplomatieke organisatie binnen de EU, een regio die een brandpunt blijft voor meerdere aan China, Noord-Korea en Rusland gelinkte dreigingsactoren. Veel van deze groepen richten zich op overheidsinstanties en de defensiesector," vervolgt hij.
Aan Noord-Korea gelinkte dreigingsactoren zetten hun jacht verder op gestolen fondsen, zowel traditionele als cryptovaluta. ESET Research zag ook hun aanvallen op defensie- en ruimtevaartbedrijven in Europa en de VS, op cryptovaluta-ontwikkelaars, denktanks en NGO's. Kimsuky, een van die groepen, misbruikte Microsoft Management Console-bestanden die doorgaans door systeembeheerders worden gebruikt en die elke Windows-opdracht kunnen uitvoeren. Meerdere aan Noord-Korea gelinkte groepen misbruikten vaak populaire cloudgebaseerde diensten.
ESET ontdekte ook cyberspionagegroepen die zich vaak richten op webmailservers zoals Roundcube en Zimbra, meestal met spearphishing-e-mails die bekende XSS-kwetsbaarheden activeren. Naast Sednit, dat zich richt op overheids-, academische en wereldwijd defensie gerelateerde entiteiten, identificeerde ESET GreenCube, ook een aan Rusland gelinkte groep, die e-mailberichten steelt via XSS-kwetsbaarheden in Roundcube. Andere aan Rusland gelinkte groepen bleven zich richten op Oekraïne, waarbij Gamaredon grote spearphishing-campagnes uitvoerde. Die herwerkte zijn tools met behulp van misbruikte Telegram- en Signal-berichtenapps. Sandworm gebruikte ook zijn nieuwe Windows-backdoor WrongSens genaamd. Verder analyseerde ESET ook het hack-and-leak van gegevens van het Poolse Antidopingagentschap, wellicht gecompromitteerd door een toegangsmakelaar die nadien de toegang deelde met FrostyNeighbor, de aan Wit-Rusland gelinkt APT-groep, een entiteit achter cyber gestuurde desinformatiecampagnes die kritisch waren over de NAVO.
In Azië zag ESET dat campagnes zich vooral bleven richten op overheidsorganisaties. Onderzoek merkte ook een grotere aandacht op voor de onderwijssector, vooral gericht op onderzoekers en academici in het Koreaanse schiereiland en Zuidoost-Azië. Deze verschuiving was aangestuurd door dreigingsactoren gelinkt aan China en Noord-Korea. Lazarus, een van de aan Noord-Korea gelinkte groepen, ging verder met aanvallen over de hele wereld in de financiële en technologische sectoren. In het Midden-Oosten bleven meerdere aan Iran gelinkte groepen overheidsorganisaties aanvallen. Israël was het zwaarst getroffen land.
De afgelopen twee decennia werd Afrika een belangrijke geopolitieke partner voor China en aan China gelinkte groepen hebben hun activiteiten op dat continent uitgebreid. In Oekraïne bleven aan Rusland gelinkte groepen bijzonder actief en hadden ze een grote impact op overheidsinstanties, de defensiesector en essentiële diensten zoals energie, water en warmtevoorziening.
De bovenvermelde acties zijn representatief voor het bredere landschap van bedreigingen die ESET in deze periode onderzocht. ESET-producten beschermen de systemen van klanten tegen de kwaadaardige activiteiten die in dit rapport beschreven zijn. Deze informatie is vooral gebaseerd op gegevens van de ESET telemetrie. De analyses van bedreigingsinformatie, bekend als ESET APT Reports PREMIUM, helpen organisaties die burgers, kritieke nationale infrastructuur en waardevolle activa moeten beschermen tegen criminele en door natiestaten aangestuurde cyberaanvallen. Meer informatie over ESET APT Reports PREMIUM met de hoogwaardige, strategische, bruikbare en tactische cybersecurity-bedreigingsinformatie is beschikbaar op de ESET Threat Intelligence-pagina.
Het volledige ESET APT Activity Report is te lezen op www.welivesecurity.com. Volg ook ESET Research on Twitter (today known as X) voor het laatste nieuws van ESET Research.
Over ESET
ESET® biedt geavanceerde digitale beveiliging om aanvallen te voorkomen voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te bundelen, blijft ESET bij bekende en opkomende cyberbedreigingen steeds voorop en beveiligt het bedrijven, kritieke infrastructuur en individuen. Gaat het om endpoint-, cloud- of mobiele beveiliging, ESET’s AI-native, cloud-first oplossingen en diensten zijn uiterst efficiënt en eenvoudig te gebruiken. ESET-technologie biedt robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 realtime bescherming en sterke lokale ondersteuning, houdt ESET, zonder onderbreking, gebruikers veilig en bedrijven draaiend. Een digitaal landschap in constante evolutie vraagt om een progressieve beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Ga voor meer informatie naar www.eset.com of volg ESET op LinkedIn, Facebook, en X.
Catherine d'Adesky 0475 48 62 68