ESET-onderzoekers zien een toename in intensiteit van APT-groepen die zich richten op diplomatieke vertegenwoordigingen. Dat staat in het nieuwe APT Activity Report van het bedrijf.
ESET observeerde onder andere een opmerkelijke uitbreiding van de aanvallen door het Chinese MirrorFace. De groep richtte zich gewoonlijk op Japanse entiteiten, maar breidde zijn activiteiten voor het eerst uit naar een diplomatieke organisatie in de Europese Unie, terwijl het zijn Japanse doelwitten prioriteit bleef geven. Daarnaast vertrouwen Chinese APT-groepen steeds vaker op het open-source en multiplatform SoftEther VPN om toegang te houden tot de netwerken van slachtoffers. Onderzoekers hebben ook aanwijzingen dat groepen die gelieerd zijn aan Iran hun cybercapaciteiten gebruiken om diplomatieke spionage en mogelijk kinetische operaties te ondersteunen.
“Met betrekking tot de Chinese dreigingsactoren ontdekten we uitgebreid gebruik van de SoftEther VPN door Flax Typhoon, zagen we dat Webworm overschakelde van zijn volledige backdoor naar het gebruik van de SoftEther VPN Bridge op machines van overheidsorganisaties in de EU en zagen we dat GALLIUM SoftEther VPN-servers inzet bij telecommunicatiebedrijven in Afrika,” zegt Jean-Ian Boutin, directeur van Threat Research bij ESET. “Voor de eerste keer zagen we dat MirrorFace zich richtte op een diplomatieke organisatie binnen de EU, een regio die een brandpunt blijft voor verschillende dreigingsactoren die gelieerd zijn aan China, Noord-Korea en Rusland. Veel van deze groepen zijn vooral gericht op overheidsinstanties en de defensiesector.”
Afrika
Aan de andere kant brachten Iraanse groeperingen verschillende financiële dienstverleners in gevaar in Afrika (een continent dat geopolitiek belangrijk is voor Iran), voerden zij cyberspionage operaties gericht op Irak en Azerbeidzjan (buurlanden waarmee Iran complexe betrekkingen onderhoudt), en vergrootten zij hun interesse in de transportsector in Israël. Ondanks deze schijnbaar nauwe geografische gerichtheid, bleven de groepen die Iran steunen zich wereldwijd richten en achtervolgden ze ook diplomatieke vertegenwoordigers in Frankrijk en onderwijsorganisaties in de Verenigde Staten.
Noord-Koreaanse dreigingsactoren bleven doorgaan met hun jacht op gestolen geld, zowel traditionele valuta als cryptocurrencies. ESET-onderzoekers hebben waargenomen dat deze groepen hun aanvallen op defensie- en ruimtevaartbedrijven in Europa en de VS voortzetten, maar ook ontwikkelaars van cryptocurrencies, denktanks en NGO’s als doelwit kiezen. Eén van deze groepen, Kimsuky, begon misbruik te maken van Microsoft Management Console-bestanden, die meestal worden gebruikt door systeembeheerders maar die elk Windows-commando kunnen uitvoeren. Daarnaast maakten verschillende groepen die gelieerd zijn aan Noord-Korea veelvuldig misbruik van populaire cloud-gebaseerde diensten.
Rusland
Tot slot ontdekten ESET-onderzoekers cyberspionagegroepen die aan Rusland gelieerd zijn en zich vaak richten op webmailservers zoals Roundcube en Zimbra, meestal met spearphishingmails die bekende XSS-kwetsbaarheden activeren. Naast Sednit, dat zich richt op overheids-, academische en defensiegerelateerde entiteiten wereldwijd, identificeerde ESET een andere aan Rusland gelieerde groep, GreenCube, die e-mailberichten steelt via XSS-kwetsbaarheden in Roundcube. Andere groepen die aan Rusland gelieerd zijn, bleven zich richten op Oekraïne. Zo zette Gamaredon grote spearphishing-campagnes op, terwijl het zijn tools opnieuw bewerkte door gebruik te maken van de berichtenapps Telegram en Signal en deze te misbruiken. Daarnaast gebruikte Sandworm zijn nieuwe Windows-backdoor WrongSens.
ESET analyseerde ook het publieke hacken en lekken van gegevens van het Poolse antidopingagentschap, dat waarschijnlijk werd gecompromitteerd door een initiële tussenpersoon die vervolgens de toegang deelde met de aan Wit-Rusland gelieerde FrostyNeighbor APT-groep, een entiteit achter cyber-enabled desinformatiecampagnes kritisch over de NAVO.
Azië
In Azië stelde ESET vast dat campagnes zich voornamelijk bleven richten op overheidsorganisaties. Het onderzoek merkte echter ook een toegenomen nadruk op de onderwijssector op, met name gericht op onderzoekers en academici die zich richten op het Koreaanse schiereiland en Zuidoost-Azië. Deze verschuiving werd veroorzaakt door dreigingsactoren die op één lijn zaten met de belangen van China en Noord-Korea. Lazarus, één van de Noord-Koreaanse groepen, bleef wereldwijd aanvallen uitvoeren op entiteiten in de financiële en technologiesector. In het Midden-Oosten bleven verschillende aan Iran gelieerde APT-groepen aanvallen uitvoeren op overheidsorganisaties, waarbij Israël het meest getroffen land was.
In de afgelopen twintig jaar is Afrika een belangrijke geopolitieke partner voor China geworden en ESET-onderzoekers hebben gezien dat groepen die aan China gelieerd zijn hun activiteiten op dat continent hebben uitgebreid. In Oekraïne bleven de aan Rusland gelieerde groepen het meest actief, met zware gevolgen voor overheidsinstanties, de defensiesector en essentiële diensten zoals energie, water en warmtevoorziening.