Powiązane z Rosją grupy APT w ostatnim kwartale 2022 roku wciąż silnie działały przeciw Ukrainie. Wykorzystywały głównie szkodliwe wipery kasujące dane i ransomware. Na celowniku cyberprzestępców znalazła się także Polska. Na dużą skalę na świecie działały również grupy powiązane z Chinami oraz Iranem – wynika z opublikowanego przez ESET Research raportu na temat aktywności grup APT, podsumowującego ostatnie miesiące 2022 roku. Eksperci informują także o kolejnych atakach tego typu wymierzonych w Ukrainę już w 2023 roku.
Ciesząca się złą sławą grupa Sandworm wykorzystywała w Ukrainie w 2022 roku nieznane wcześniej oprogramowanie typu wiper – ustalili eksperci ESET. Oprogramowanie, któremu eksperci nadali nazwę NikoWiper, zostało użyte do ataku na ukraińską firmę z sektora energetycznego. Działanie NikoWiper oparto na SDelete, narzędziu Microsoft, które służyło pierwotnie do bezpiecznego usuwania plików.
Opisany atak wydarzył się w październiku 2022, w tym samym czasie, kiedy rosyjskie siły zbrojne rozpoczęły ataki rakietowe na ukraińską infrastrukturę energetyczną. Grupy APT działają zwykle w porozumieniu z organami państwowymi lub powiązanymi z rządem. Chociaż ESET nie jest w stanie wykazać, że wydarzenia te były skoordynowane, sugeruje, że Sandworm i rosyjskie wojsko mają podobne cele. Z kolei już w styczniu 2023 analitycy ESET poinformowali o kolejnej aktywności grupy Sandworm wymierzonej w Ukrainę. Kolejny wiper o nazwie SwiftSlicer został stworzony w języku programowania Go.
Specjaliści ds. cyberbezpieczeństwa ESET wykryli także, że grupa Sandworm, poza atakami wykorzystującymi złośliwe oprogramowanie wymazujące dane, przeprowadzała w ostatnim kwartale 2022 roku też akcje przy użyciu ransomware. Celem tych ataków także było zniszczenie danych. W przeciwieństwie do typowych ataków ransomware, grupa Sandworm nie zamierzała udostępniać klucza deszyfrującego.
W październiku 2022 r. ESET wykrył także, że oprogramowanie ransomware Prestige wykorzystywane jest przeciwko firmom logistycznym w Ukrainie i w Polsce. Z kolei w listopadzie 2022 r. zidentyfikowano w Ukrainie nowe oprogramowanie ransomware, stworzone w technologii .NET, które nazwano RansomBoggs. ESET Research opublikował wówczas na Twitterze szczegóły wykrytej kampanii. Grupa Sandworm oraz inne rosyjskie grupy APT, takie jak Callisto i Gamaredon, kontynuowały kampanie spearphishingowe przeciwko Ukrainie w celu kradzieży danych uwierzytelniających i instalowania szkodliwych programów.
Badacze wykryli również kampanię spearphishingową MirrorFace, wymierzoną w podmioty polityczne w Japonii i zauważyli stopniową zmianę w działaniach niektórych grup powiązanych z Chinami – grupa Goblin Panda zaczęła dublować zainteresowanie grupy Mustanga Panda krajami europejskimi. W listopadzie ubiegłego roku ESET wykrył nowy backdoor opracowany przez Goblin Panda, który nazwano TurboSlate, w organizacji rządowej w Unii Europejskiej. Mustang Panda nadal atakuje organizacje europejskie. We wrześniu ubiegłego roku wykryto m.in. oprogramowanie Korplug używane przez grupę Mustang Panda, w akcji przeciw szwajcarskiemu przedsiębiorstwu z sektora energetycznego i inżynieryjnego.
Również grupy APT powiązane z Iranem kontynuowały ataki w czwartym kwartale 2022 roku. Grupa POLONIUM, prowadząca do tej pory ataki na firmy izraelskie, rozpoczęła także działania wymierzone w ich zagraniczne spółki zależne, a MuddyWater prawdopodobnie naraził na szwank dostawcę usług zarządzania bezpieczeństwem.
Z kolei grupy powiązane z Koreą Północną wykorzystywały stare exploity do ataku na firmy kryptowalutowe i giełdy w różnych częściach świata. Co ciekawe, złośliwe oprogramowanie Konni, atakujące dotychczas w Rosji i Korei Południowej, rozszerzyło repertuar używanych języków o angielski. Oznacza to, że może teraz przeprowadzać działania wymierzone także w inne cele.
Wśród krajów atakowanych w ostatnim kwartale 2022 roku przez grupy APT, eksperci ESET obok Ukrainy, Polski, Japonii, Iraku i Korei Południowej wymieniają także m.in. Stany Zjednoczone, Łotwę, Serbię, czy Egipt. Opróczsektora energetycznego, finansowego, logistycznego i rządowego, grupy APT działały w tym czasie także m.in. na szkodę firm z sektora obronnego, przemysłowego i zajmujących się łącznością satelitarną.
