Російські APT-групи продовжують атакувати українські організації та критичну інфраструктуру

Російські APT-групи продовжують атакувати українські організації та критичну інфраструктуру

Компанія ESET підготувала огляд активності APT-груп протягом вересня-грудня 2022 року. За цей період пов’язані з росією APT-групи продовжували атакувати Україну, використовуючи для цього загрози для знищення інформації та програми-вимагачі.

Варто зазначити, що APT-групи ― це угрупування висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їх метою зазвичай є отримання конфіденційних даних або проникнення в системи урядових установ, високопоставлених осіб чи стратегічних компаній.

Зокрема в жовтні Україну знову атакувала пов’язана з росією група кіберзлочинців Sandworm, відома своїми атаками на українські організації та критичну інфраструктуру. Цього разу група націлилася на енергетичну компанію, використовуючи невідому програму NikoWiper для знищення інформації. Ця атака сталася в жовтні в той самий період, коли російські військові почали завдавати ракетних ударів по енергетичній інфраструктурі. Хоча довести координацію цих подій складно, ймовірно, Sandworm і російська армія мають схожі цілі.

Крім шкідливого програмного забезпечення, яке знищує інформацію, дослідники ESET виявили атаки Sandworm з застосуванням програм-вимагачів. Однак на відміну від традиційних атак цього виду шкідливих програм, зловмисники Sandworm націлювалися на знищення даних та не мали наміру надавати ключ для розшифрування інформації.

Зокрема у жовтні 2022 року спеціалісти ESET виявили атаку програми-вимагача Prestige на логістичні компанії в Україні та Польщі. А в листопаді 2022 року ESET зафіксувала нову програму-вимагач RansomBoggs, націлену на українські організації.

Разом із Sandworm інші російські APT-групи, такі як Callisto та Gamaredon, продовжили атакувати українських користувачів з метою викрадення облікових даних та встановлення шкідливих компонентів. Зокрема група Callisto здійснювала спроби крадіжки даних для входу в пошту, зареєструвавши для цього десятки підробних доменів. Тоді як Gamaredon поширювала небезпечні листи зі шкідливими вкладеннями.

Крім цього, деякі групи, пов’язані з Китаєм, розширили перелік своїх цілей, зокрема кіберзлочинці Goblin Panda тепер почали цікавитися європейськими країнами, як і Mustang Panda. У листопаді минулого року дослідники ESET виявили новий бекдор Goblin Panda в урядовій організації Європейського Союзу. При цьому, Mustang Panda також продовжує атакувати європейські установи. У вересні минулого року кіберзлочинці атакували організації в енергетичному та інженерному секторі Швейцарії з використанням шкідливої програми Korplug.

Кіберзлочинці, пов’язані з Іраном, зокрема група POLONIUM також продовжила свої атаки, націлюючись не лише на ізраїльські компанії, а й на їх іноземні дочірні підприємства. Тоді як зловмисники, пов’язані з Північною Кореєю, використовували старі експлойти, щоб скомпрометувати криптовалютні фірми та біржі в різних частинах світу.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *