Russische APT-groepen blijven Oekraine aanvallen

Aan Rusland gelieerde APT-groepen blijven sterk betrokken bij cyberaanvallen op Oekraïne, waarbij zij destructieve wipers en ransomware inzetten. Naast Russische groepering zijn echter ook de aan China gelieerde groep Goblin Panda en aan Iran gelieerde groepen actief.

Dit blijkt uit het APT Activity Report van ESET Research. Het rapport geeft een update over de aanvallen van APT-groepen op Oekraïne en geeft een overzicht van alle waarnemingen, onderzoeken en analyses van ESET-onderzoekers tussen september en eind december 2022.

Nieuwe wipers ingezet in Oekraïne

ESET-onderzoekers ontdekten in Oekraïne meerdere nieuwe wipers die in werden gezet door APT-groep Sandworm. Eén daarvan was NikoWiper. Deze wiper werd in oktober 2022 gebruikt tegen een bedrijf in de energiesector in Oekraïne. NikoWiper is gebaseerd op SDelete, een opdrachtregelprogramma van Microsoft dat wordt gebruikt voor het veilig wissen van bestanden. ESET vermoedt dat de APT-groepen zijn aangestuurd door Statelijke, of door de staat gesponsorde, actoren. De aanval met NikoWiper vond plaats in oktober, in dezelfde periode waarin Russische strijdkrachten begonnen met raketaanvallen op energie-infrastructuur. Hoewel ESET niet kan aantonen dat die gebeurtenissen gecoördineerd waren, suggereert het dat Sandworm en het Russische leger verwante doelstellingen hebben.

Vorige week ontdekten ESET-onderzoekers opnieuw een nieuwe wiper gericht op Oekraïne. SwiftSlicer maakt gebruik van Active Directory Group Policy en is geschreven in Go programmeertaal. Deze wiper wordt net als NikoWiper, toegeschreven aan Sandworm.

Ransomware en wipers

Naast malware die gegevens wist, ontdekte ESET ook Sandworm-aanvallen waarbij ransomware als wiper werd gebruikt. Bij deze aanvallen is weliswaar ransomware gebruikt, maar het einddoel was hetzelfde als bij de wipers: het vernietigen van gegevens. In tegenstelling tot traditionele ransomware-aanvallen zijn de Sandworm-operators niet van plan een decryptiesleutel te verstrekken.

In oktober 2022 ontdekte ESET dat Prestige ransomware is ingezet tegen logistieke bedrijven in Oekraïne en Polen. En in november 2022 ontdekte ESET nieuwe ransomware in Oekraïne geschreven in .NET, die we RansomBoggs wordt genoemd. Naast Sandworm hebben ook andere Russische APT-groepen zoals Callisto en Gamaredon hun activiteiten in de oorlog in Oekraïne voortgezet. Zo zetten Callisto en Gamaradon bijvoorbeeld spearphishingcampagnes in om inloggegevens te stelen en systemen te infiltreren.

Overige APT-activiteiten

Naast de activiteiten die betrekking hebben tot de oorlog in Oekraïne geeft het APT-report van ESET ook inzicht in het bredere dreigingslandschap waarbij specifiek wordt gekeken naar groeperingen gelieerd aan China, Iran & Noord-Korea.

Zo ontdekten ESET-onderzoekers een spearphishingcampagne van MirrorFace gericht op politieke entiteiten in Japan. Denk echter ook aan de nieuwe backdoor TurboSlate van Goblin Panda bij een overheidsorganisatie in de Europese Unie. Een ander voorbeeld is de groepering Mustang Panda, die zich op Europese organisaties blijft richten. Zo is in september een Korplug loader ontdekt, die door Mustang Panda is gebruikt bij een organisatie in de Zwitserse energie en engineering sector.

Ook Iraanse en Noord-Koreaanse groepen zijn actief

Ook aan Iran gelieerde groepen zetten hun aanvallen voort. Naast Israëlische bedrijven begon POLONIUM ook buitenlandse dochterondernemingen van Israëlische bedrijven aan te vallen en MuddyWater heeft waarschijnlijk een managed security service provider gecompromitteerd.

Groepen die gelieerd zijn aan Noord-Korea gebruikten oude exploits om cryptocurrency bedrijven en exchanges in verschillende delen van de wereld te compromitteren. Interessant is dat Konni het repertoire van talen die het gebruikt in zijn lokdocumenten heeft uitgebreid met het Engels, wat betekent dat het zich wellicht niet richt op zijn gebruikelijke Russische en Zuid-Koreaanse doelen.

Meer technische informatie is beschikbaar in het ESET APT Activity Report op WeLiveSecurity.