Relatório destaca atividades de grupos APT investigados pela Equipe de Pesquisa da ESET

ESET APT Activity Report Q2 2023 – Q3 2023

Read full report

O ESET APT Activity Report Q2-Q3 2023 resume as atividades de grupos de ameaças persistentes avançadas (APT) selecionados que foram observados, investigados e analisados pela equipe de pesquisa da ESET de abril de 2023 até o final de setembro de 2023. No período monitorado, observamos uma estratégia notável de grupos APT que utilizam a exploração de vulnerabilidades conhecidas para exfiltrar dados de órgãos governamentais ou organizações relacionadas. O Sednit e o Sandworm, alinhados à Rússia, o Konni, alinhado à Coreia do Norte, e o Winter Vivern e o Sturgeon Phisher, geograficamente não atribuídos, aproveitaram a oportunidade para explorar vulnerabilidades no WinRAR (Sednit, SturgeonPhisher e Konni), Roundcube (Sednit e Winter Vivern), Zimbra (Winter Vivern) e Outlook para Windows (Sednit) para atingir várias órgãos governamentais na Ucrânia, Europa e Ásia Central. Com relação aos agentes de ameaças alinhados à China, o GALLIUM provavelmente explorou pontos fracos nos servidores Microsoft Exchange ou IIS, ampliando seu alvo de operadoras de telecomunicações para órgãos governamentais em todo o mundo; o MirrorFace provavelmente explorou vulnerabilidades no serviço de armazenamento on-line Proself; e o TA410 provavelmente explorou falhas no servidor de aplicativos Adobe ColdFusion.

Grupos alinhados ao Irã e ao Oriente Médio continuaram a operar em grande volume, concentrando-se principalmente em espionagem e roubo de dados de organizações em Israel. Notavelmente, o MuddyWater, alinhado ao Irã, também teve como alvo uma instituição não identificada na Arábia Saudita, implantando um payload que sugere a possibilidade de esse agente de ameaças servir como uma equipe de desenvolvimento de acesso para um grupo mais avançado.

O alvo principal dos grupos alinhados à Rússia continuou sendo a Ucrânia, onde descobrimos novas versões dos conhecidos wipers RoarBat e NikoWiper e um novo wiper que chamamos de SharpNikoWiper, todos implantados pelo grupo Sandworm. Curiosamente, enquanto outros grupos - como Gamaredon, GREF e SturgeonPhisher - têm como alvo os usuários do Telegram para tentar exfiltrar informações ou pelo menos alguns metadados relacionados ao Telegram, o Sandworm usa ativamente esse serviço para fins de medida ativa, anunciando suas operações de sabotagem cibernética. No entanto, o grupo mais ativo na Ucrânia continuou a ser o Gamaredon, que aprimorou significativamente seus recursos de coleta de dados ao desenvolver novamente as ferramentas existentes e implantar novas.

Os grupos alinhados à Coreia do Norte continuaram a se concentrar no Japão, na Coreia do Sul e em instituições voltadas para a Coreia do Sul, empregando e-mails de spearphishing cuidadosamente elaborados. O esquema Lazarus mais ativo observado foi a Operação DreamJob, atraindo alvos com falsas ofertas de emprego para cargos lucrativos. Esse grupo demonstrou consistentemente sua capacidade de criar malware para todas as principais plataformas de desktop. Por fim, nossos pesquisadores descobriram as operações de três grupos alinhados à China não identificados anteriormente: DigitalRecyclers, comprometendo repetidamente um orgão governamental na UE; TheWizards, conduzindo ataques adversários no meio do caminho; e PerplexedGoblin, visando outro órgão governamental na União Europeia.

As atividades maliciosas descritas no ESET APT Activity Report Q2-Q3 2023 são detectadas por produtos da ESET; a inteligência compartilhada é baseada principalmente em dados de telemetria proprietários da ESET e foi verificada por pesquisadores da ESET.

Os países, regiões e setores verticais afetados pelos grupos APT descritos neste relatório incluem:

Siga ESET Research no X para obter atualizações periódicas sobre as principais tendências e as principais ameaças.