Der ESET APT Activity Report Q4 2022-Q1 2023 fasst die Aktivitäten ausgewählter Advanced Persistent Threat (APT)-Gruppen zusammen, die von ESET-Forschern von Oktober 2022 bis Ende März 2023 beobachtet, untersucht und analysiert wurden. Aufmerksamen Lesern wird auffallen, dass in einem kleinen Teil des Berichts auch einige Ereignisse erwähnt werden, die zuvor im APT Activity Report T3 2022 behandelt wurden. Dies ist auf unsere Entscheidung zurückzuführen, diesen Bericht fortan halbjährlich zu veröffentlichen. Die aktuelle Ausgabe umfasst Q4 2022 und Q1 2023, während die kommende Ausgabe Q2 und Q3 2023 abdeckt.

Im beobachteten Zeitraum konzentrierten sich mehrere chinesische Bedrohungsakteure auf europäische Organisationen, wobei sie Taktiken wie die Bereitstellung einer neuen Ketrican-Variante durch Ke3chang und die Verwendung von zwei neuen Backdoors durch Mustang Panda einsetzten. MirrorFace nahm Japan ins Visier und setzte neue Methoden zur Verbreitung von Malware ein, während die Operation ChattyGoblin ein Glücksspielunternehmen auf den Philippinen kompromittierte, indem sie dessen Support-Mitarbeiter ins Visier nahm. Die mit Indien verbündeten Gruppen SideWinder und Donot Team nahmen weiterhin staatliche Einrichtungen in Südasien ins Visier, wobei erstere auf den Bildungssektor in China abzielte und letztere ihr berüchtigtes yty-Framework weiterentwickelte, aber auch das kommerziell erhältliche Remcos RAT einsetzte. Ebenfalls in Südasien entdeckten wir eine große Anzahl von Zimbra-Webmail-Phishing-Versuchen.

Im Nahen Osten verwendete die mit dem Iran verbündete Gruppe MuddyWater in diesem Zeitraum nicht mehr SimpleHelp, um ihre Tools an ihre Opfer zu verteilen, sondern PowerShell-Skripte. In Israel setzte OilRig eine neue benutzerdefinierte Backdoor mit dem Namen Mango und den SC5k-Downloader ein, während POLONIUM eine modifizierte CreepySnail verwendete.

Mit Nordkorea verbündete Gruppen wie ScarCruft, Andariel und Kimsuky konzentrierten sich weiterhin auf südkoreanische und mit Südkorea verbundene Unternehmen und verwendeten dabei ihre üblichen Tools. Lazarus zielte nicht nur mit einem gefälschten Boeing-Stellenangebot auf die Mitarbeiter eines Rüstungsunternehmens in Polen ab, sondern verlagerte seinen Schwerpunkt auch von seinen üblichen Zielgruppen auf ein Datenmanagement-Unternehmen in Indien, wobei es einen Köder mit dem Thema Accenture verwendete. Darüber hinaus haben wir eine Linux-Malware identifiziert, die in einer ihrer Kampagnen zum Einsatz kam. Mit Russland verbündete APT-Gruppen waren besonders in der Ukraine und in EU-Ländern aktiv: Sandworm setzte Wiper ein (darunter einen neuen, den wir SwiftSlicer nennen), und Gamaredon, Sednit und die Dukes nutzten Spearphishing-E-Mails, die im Falle der Dukes zur Ausführung eines als Brute Ratel bekannten Red-Team-Implantats führten. Schließlich stellten wir fest, dass die bereits erwähnte Zimbra-E-Mail-Plattform auch von Winter Vivern ausgenutzt wurde, einer Gruppe, die vor allem in Europa aktiv ist, und wir stellten einen deutlichen Rückgang der Aktivitäten von SturgeonPhisher fest, einer Gruppe, die es mit Spearphishing-E-Mails auf Regierungsmitarbeiter zentralasiatischer Länder abgesehen hat, was uns zu der Annahme veranlasst, dass sich die Gruppe derzeit umrüstet.

Die im ESET APT Activity Report Q4 2022-Q1 2023 beschriebenen bösartigen Aktivitäten werden von ESET-Produkten erkannt. Die geteilten Informationen basieren größtenteils auf proprietären ESET-Telemetriedaten und wurden von ESET Research verifiziert.

Zu den Ländern, Regionen und Branchen, die von den in diesem Bericht beschriebenen APT-Gruppen betroffen sind, gehören:

  • Australien
  • Bangladesch
  • Bulgarien
  • Zentralasien
  • China
  • Ägypten
  • Europa
  • Hongkong
  • Indien
  • Israel
  • Japan
  • Namibia
  • Nepal
  • Pakistan
  • Die Philippinen
  • Polen
  • Saudi-Arabien
  • Südkorea
  • Südwestasien
  • Sri Lanka
  • Sudan
  • Taiwan
  • Ukraine
  • UK
  • USA

Angegriffene Geschäftsbereiche:

  • Datenmanagement-Unternehmen
  • Auftragnehmer im Verteidigungsbereich
  • Diplomaten
  • Bildungseinrichtungen
  • Energiesektor
  • Finanzdienstleistungen
  • Glücksspielunternehmen
  • Staatliche Einrichtungen
  • Gesundheitswesen
  • Gastgewerbe
  • Medien
  • Forschungsinstitute

 

ESET APT Activity Reports enthalten nur einen Bruchteil der Cybersecurity Intelligence-Daten, die in ESET APT Reports PREMIUM enthalten sind. Weitere Informationen finden Sie auf der ESET Threat Intelligence Website.

Folgen Sie gern auch ESET research auf Twitter für regelmäßige Updates zu den wichtigsten Trends und Bedrohungen.