В последнем выпуске ESET Research Podcast ведущий исследователь ESET Aryeh Goretsky вместе со специалистом ESET по осведомленности в области безопасности Rene Holt разбирают ключевые выводы из отчета ESET об APT-активности.
Первый злоумышленник, который выходит на передний план, — это UnsolicitedBooker, связанная с Китаем APT-группа, которая продемонстрировала уровень настойчивости, полностью оправдывающий букву «P» в APT. Эта группа трижды за несколько лет атаковала одну и ту же организацию, пытаясь развернуть свой фирменный backdoor MarsSnake. Этот пример подчеркивает неустанную сосредоточенность определенных групп, которые готовы на все, чтобы достичь своих целей.
Затем разговор переходит к трудностям атрибуции, особенно в связи с растущей тенденцией обмена инструментами, в основном среди связанных с Китаем акторов, таких как Worok. Их тактика заключается в том, чтобы запутать следы, используя перекрывающиеся наборы инструментов, полученные от цифровых снабженцев, переплетая свою деятельность с деятельностью других групп, таких как LuckyMouse и TA428.
Переходя к связанным с Россией акторам, обсуждение фокусируется на группах, таких как Sednit, Gamaredon и Sandworm. Последняя активность Sednit связана с Operation RoundPress, которая изначально была нацелена на популярный сервис веб-почты Roundcube, но недавно расширилась на другие платформы, такие как Horde, MDaemon и Zimbra. Sednit использует целевые электронные письма, эксплуатирует уязвимости в этих сервисах и применяет межсайтовый скриптинг для атаки на оборонные компании, расположенные в Болгарии и Украине.
Gamaredon остается одной из самых активных APT-групп в Украине, постоянно совершенствуя свои методы обфускации, чтобы опередить обнаружение. Тем временем Sandworm активизировала использование вредоносного ПО для стирания данных, развернув новый wiper под названием ZEROLOT несколько раз за последние шесть месяцев. Этот wiper действует с хирургической точностью, стирая определенные файлы и каталоги, не выводя из строя всю систему сразу — такой подход гарантирует, что вредоносное ПО сможет завершить свою разрушительную миссию.
Aryeh и Rene также углубляются в деятельность групп, связанных с Северной Кореей и Ираном. Если вас интересуют более подробные сведения, обязательно послушайте этот выпуск ESET Research Podcast или скачайте последний ESET APT Activity Report.
Обсуждаемые темы:
UnsolicitedBooker (MarsSnake) 1:45
Worok (и его цифровые снабженцы) 4:50
Sednit (Operation RoundCube) 9:55
Gamaredon 13:55
Sandworm (ZEROLOT wiper) 16:15
DeceptiveDevelopment (WeaselStore, ClickFix) 24:10
MuddyWater против Lyceum 29:40
