Analysis
De acordo com uma nova análise da Eset, estes grupos estão a aplicar táticas como a implementação de backdoors
17/05/2023
Entre o quarto trimestre de 2022 e o primeiro trimestre de 2023, vários grupos cibercriminosos associados à China focaram os seus ataques em organizações europeias, aplicando táticas como a implementação de backdoors, indicam dados da Eset no seu relatório de atividade APT. Por exemplo, o grupo Ke3chang implementou uma nova variante da backdoor Ketrican, enquanto o grupo Mustang Panda utilizou duas novas backdoors. O grupo MirrorFace visou o Japão, recorrendo a novas formas de distribuir malware, enquanto a operação ChattyGoblin comprometeu uma empresa de jogo nas Filipinas através dos seus agentes de suporte. Os grupos associados à Índia SideWinder e Donot Team continuaram a atacar instituições governamentais no Sul da Ásia, com o primeiro a focar-se no setor da educação na China e o segundo a desenvolver a sua framework yty, que consiste numa cadeia de downloaders cujo objetivo final é descarregar uma backdoor, mas também a implementar o RAT Remcos comercialmente disponível. Ainda no Sul da Ásia, a Eset detetou um alto número de tentativas de phishing na plataforma de webmail Zimbra. No Médio Oriente, o grupo associado ao Irão MuddyWater parou de usar a ferramenta de acesso remoto SimpleHelp durante este período para distribuir malware pelas suas vítimas, optando por scripts PowerShell. Em Israel, o grupo OilRig implementou uma nova backdoor personalizada a que a ESET chamou Mango e o downloader SC5k, enquanto o grupo POLONIUM usou uma backdoor CreepySnail modificada. Grupos associados à Coreia do Norte como o ScarCruft, Andariel e Kimsuky continuaram a focar-se na Coreia do Sul e entidades relacionadas usando as suas ferramentas habituais. Para além de visar os funcionários de uma empresa de defesa na Polónia com uma oferta de emprego da Boeing falsa, o grupo Lazarus também mudou o seu foco dos seus alvos tradicionais para uma empresa de gestão de dados na Índia, utilizando engenharia social temática da Accenture. A Eset identificou ainda malware Linux a ser implementado numa das suas campanhas. Os grupos APT associados à Rússia estiveram especialmente ativos na Ucrânia e países da União Europeia, com o grupo Sandworm a distribuir wipers (malware que apaga dados), incluindo um novo a que a ESET chamou SwiftSlicer, e os grupos Gamaredon, Sednit e Dukes a utilizarem emails de spearphishing (phishing direcionado a alvos específicos). Finalmente, a Eset detetou que a previamente mencionada plataforma de email Zimbra também foi explorada pelo grupo Winter Vivern, particularmente ativo na Europa, e notou uma redução significativa na atividade do grupo SturgeonPhisher, que normalmente se foca nos funcionários governamentais de países da Ásia Central com emails de spearphishing, levando os especialistas a acreditar que o grupo está neste momento a reequipar-se. |