מה עשו קבוצות תקיפת הסייבר בחצי השנה האחרונה, ומי התמקדה בישראל?
מאת: מערכת Telecom News, 16.5.23, 17:41
 
הדו"ח מפרט את פעילות קבוצות התקיפה (APT), ומסכם את פעילותן של קבוצות נבחרות שנצפו, נחקרו ונותחו.
 
חברת אבטחת המידע ESET פרסמה את דו"ח פעילות קבוצות התקיפה (APT), שמסכם את פעילותן של קבוצות נבחרות שנצפו, נחקרו ונותחו ע״י חוקרי החברה, בתקופה שבין אוקטובר 2022 למרץ 2023. הפעילויות הזדוניות המתוארות מזוהות באמצעות הטכנולוגיה של החברה והמודיעין נשען על נתוני טלמטריה של החברה ומאומת ע"י חוקריה.

בישראל, קבוצת OilRig, שמזוהה עם איראן, הפעילה דלת אחורית מותאמת-אישית חדשה, שנקראת 'מנגו' ושהופעלה כנגד ארגון במגזר הבריאות.

במהלך התקופה הזאת, מספר גורמי איום, שמזוהים עם סין, כמו Ke3chang ו-Mustang Panda התמקדו בארגונים אירופאיים. קבוצת Ke3chang השתמשה בטקטיקות כמו הפצה של וריאנט Ketrican החדש, וקבוצת Mustang Panda השתמשה ב-2 דלתות אחוריות חדשות.

קבוצת MirrorFace התמקדה ביפן ופיתחה גישות חדשות להפצת נוזקות, כמו במבצע ChattyGoblin, בו הקבוצה הצליחה לפרוץ לחברת הימורים בפיליפינים באמצעות ניצול לרעה של אנשי התמיכה שלהם.

קבוצות SideWinder ו-Donot, שמזוהות עם הודו, המשיכו לתקוף מוסדות ממשלתיים בדרום אסיה, כשהראשונה מביניהן התמקדה במוסדות חינוכיים בסין והשנייה ממשיכה לפתח את מסגרת העבודה yty הידועה לשמצה, אך גם הפיצה את נוזקת ה-RAT המכונה Remcos וזמינה לרכישה באופן חופשי.

קבוצות, שמזוהות עם צפון קוריאה, המשיכו להתמקד ביישויות דרום קוריאניות וכאלו הקשורות לדרום קוריאה. כ"כ, בנוסף לתקיפת העובדים של קבלן ההגנה הצבאית בפולין באמצעות הצעת עבודה המתחזה להצעת עבודה מ-Boeing, קבוצת Lazarus, שמזוהה עם צפון קוריאה, הסיטה את המיקוד שלה מהמטרות הרגילות שלה אל חברת ניהול נתונים בהודו, תוך שימוש בפיתיון המתבסס על חברת Accenture.

נקודות דמיון של נוזקת הלינוקס האחרונה של Lazarus תומכות בתיאוריה לפיה הקבוצה המזוהה עם צפון קוריאה עומדת מאחורי מתקפת שרשרת האספקה ״3CX״.
קבוצות APT המזוהות עם רוסיה היו פעילות באופן חריג באוקראינה ובמדינות האיחוד האירופי. קבוצת Sandworm הפיצה נוזקות מחיקה (wipers), ביניהן נוזקה חדשה המכונה בשם SwiftSlicer.

קבוצות Gamaredon, Sednit ו-Dukes השתמשו במתקפות דיוג ממוקד (spear-phishing) באמצעות דוא״ל, ובמקרה של Dukes המתקפה הצליחה להוביל להפעלה של Red team implant המוכר בשם Brute Ratel.

בנוסף, גוף המחקר של החברה זיהה בדרום אסיה גם מספר ניסיונות דיוג באמצעות דוא״ל מצד קבוצת Zimbra. החברה זיהתה, שפלטפורמת הדוא״ל Zimbra נוצלה גם ע״י קבוצת Western Vivern, שפעילה בעיקר באירופה, והחוקרים זיהו ירידה משמעותית בפעילות של SturgeonPhisher, קבוצה, שמיקדה את מתקפותיה בצוותים ממשלתיים של מדינות במרכז אירופה באמצעות שימוש בהודעות דיוג ממוקד בדוא״ל, מה שמוביל להערכה, שהקבוצה עוסקת כרגע בגיוס כלים חדשים.

מידע טכני בדו"ח פעילות ה-APT של ESET