WildPressure APT

V roku 2019 hrozivá kampaň nasadzujúca plnohodnotnú trójsku hrozbu proti priemyselným cieľom na Blízkom východe nedokázala zodpovedať TTP (taktiky, techniky a postupy) už zavedených aktérov hrozieb v regióne. V dôsledku toho bola pripísaná novozaloženej skupine ATP (Advanced Persistent Threat) s označením WildPressure. Od tejto počiatočnej operácie sa zdá, že hackeri vynaložili veľa úsilia na rozšírenie a zlepšenie svojho arzenálu škodlivých nástrojov. V skutočnosti nová kampaň nesúca znaky WildPressure teraz nasadzuje niekoľko dovtedy nevídaných malvérových hrozieb, z ktorých jedna je schopná ohroziť systémy macOS. Obete sú opäť z Blízkeho východu a podľa predbežného odhadu súvisia s ropným a plynárenským sektorom. WildPressure tiež...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Skupina GOLD WINTER pre počítačovú kriminalitu

Výskumníci v oblasti kybernetickej bezpečnosti s veľkou istotou oznámili, že za útočné operácie zahŕňajúce Hades Ransomware je zodpovedná novozaložená hackerská skupina, ktorú označili ako GOLD WINTER. Hades sa objavil na scéne počítačovej kriminality v decembri 2020 a doteraz bol využívaný proti viacerým cieľom. Predtým rôzne firmy infosec pripisovali tento škodlivý nástroj rôznym hackerským skupinám vrátane HAFNIUM a GOLD DRAKE. V skutočnosti sa GOLD DRAKE javil ako pravdepodobný vinník v dôsledku niekoľkých prekrývaní medzi Hades a ich vlastnou ransomvérovou hrozbou s názvom WastedLocker, ktorá zahŕňa podobné volania programovacieho rozhrania, využívajúce kryptor CryptOne a existenciu niekoľkých identických príkazov v oboch hrozbách....

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

BackdoorDiplomacy

BackdoorDiplomacy je skupina APT (Advanced Persistent Threat) zameraná na vykonávanie útočných operácií proti diplomatickým cieľom v Afrike, Európe, na Strednom východe a v Ázii. Medzi obeťami skupiny sú aj ministerstvá zahraničných vecí viacerých afrických krajín. Menej často sa BackdoorDiplomacy zapája do operácií proti telekomunikačným spoločnostiam a charitatívnym organizáciám. Medzi počiatočné vektory infekcie, ktoré BackdoorDiplomacy využíva, patrí nájdenie zraniteľných systémov a aplikácií vystavených internetu na webových serveroch. Bolo pozorované, že hackeri zneužili zraniteľnosť F5 BIP-IP (CVE-2020-5902) na zrušenie zadného vrátka Linuxu, zatiaľ čo pri inom útoku zneužili server Microsoft Exchange prostredníctvom kvapkadla...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Zločinecká skupina Andariel

Andariel Criminal Group je štátom podporovaný aktér hrozieb, ktorý sa neustále zameriava na zacielenie na subjekty nachádzajúce sa v Južnej Kórei. Kyberzločinci tiež prejavili finančne motivovanú stránku svojich operácií. Predtým sa skupina zamerala priamo na bankomaty v Južnej Kórei, zatiaľ čo pri poslednom vážnom útoku pripisovanom skupine hackeri nasadili jednu zo svojich obetí ransomvérovú hrozbu. Je potrebné poznamenať, že skupina Andarial Criminal Group bola označená ako podskupina skupiny Lazarus APT (Advanced Persistent Threat) Kórejským inštitútom pre finančnú bezpečnosť. Obete zločineckej skupiny Andariel zatiaľ medzi sebou vykazujú len malé prepojenie. Každá obeť bola aktívna vo svojich príslušných vertikálach bez jasného...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

RedDelta

RedDelta je označenie, ktoré dala komunita infosec vysoko aktívnej skupine APT (Advanced Persistent Threat). Existujú silné prepojenia, ktoré naznačujú, že RedDelta je čínsky sponzorovaný aktér hrozby. Ciele skupiny sú takmer vždy v súlade so záujmami čínskej vlády. Jedna z posledných útočných kampaní pripisovaných skupine bola spustená proti niekoľkým organizáciám súvisiacim s katolíckou cirkvou. Medzi obeťami boli Vatikán a katolícka diecéza Hong Kong. Medzi ciele patrila aj Hongkonská študijná misia v Číne a Pápežský inštitút pre zahraničné misie (PIME), Taliansko. Obe organizácie neboli pred touto operáciou klasifikované ako subjekty záujmu hackerských skupín podporovaných Čínou. Operácie vykonávané čínskymi skupinami APT vykazujú...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Gelsemium APT

Gelsemium je skupina APT (Advanced Persistence Threat), ktorá je aktívna prinajmenšom od roku 2014. Hackeri uskutočnili viacero útočných kampaní proti cieľom umiestneným prevažne vo východnej Ázii a na Blízkom východe. Medzi ich potenciálnymi obeťami sú subjekty zo širokého spektra rôznych vertikál. Medzi obeťami Gelsemium APT sú zatiaľ vládne agentúry, výrobcovia elektroniky, náboženské organizácie, ako aj viaceré univerzity. Malware Toolkit Skupina Gelsemium APT vytvára pre svoje operácie viacstupňový reťazec útokov. Po prelomení cieľového systému hackeri nasadia malvér s názvom Gelsemine. Kvapkadlo je nezvyčajne veľké pre tento typ malvéru, ale obsahuje osem vstavaných spustiteľných súborov. Veľký rozmer využíva Gelsemine na...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Gang pre počítačovú kriminalitu PuzzleMaker

Výskumníci spoločnosti Infosec zaznamenali novú vlnu vysoko cielených útokov. Charakteristiky operácie nezodpovedali žiadnemu z TTP (taktiky, techniky a postupov) už zavedených skupín kyberzločinu. Neexistencia prekrývania s predchádzajúcimi útočnými kampaňami viedla výskumníkov k tomu, že pozorovaný útok pripísali novo určenému aktérovi hrozby, ktorého nazvali PuzzleMaker. Počiatočný vektor kompromisu Analýza odhalila, že hackeri PuzzleMaker sa spoliehali na zero-day zraniteľnosti nájdené v prehliadači Google Chrome a Microsoft Windows. Presné zneužitia prehliadača Chrome sa nepodarilo presne určiť, ale nepriame dôkazy poukazujú na chybu zabezpečenia CVE-2021-21224, ktorá by mohla ovplyvniť zostavu prehliadača Chrome 90.0.4420.72. Tento...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Čarodejník Spider

kyberzločinecká skupina s názvom Wizard Spyder, hoci ju dlhé roky pozorovali mnohé medzinárodné organizácie na presadzovanie práva, ako napríklad FBI, Europol, Národná kriminálna agentúra Spojeného kráľovstva a Interpol, stále vykonáva svoje škodlivé útoky a spôsobuje vláde veľa problémov, poľnohospodárstvo, letecký priemysel a ďalšie kľúčové sektory, najmä zdravotníctvo. Jadro členov skupiny Wizard Spider má svoju základňu v Rusku, najmä v Petrohrade, no úrady sa domnievajú, že v nich je viac ako 80 zamestnancov, ktorí ani netušia, že pracujú pre zločineckú organizáciu. Predpokladá sa, že skupina Wizard Spider sa podieľala na kybernetických útokoch trójskeho koňa Dyrea , bankového trójskeho koňa, ktorý bol v rokoch 2014 a 2015 použitý...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

Agrius APT

Aktivity novej skupiny hackerov APT (Advanced Persistent Threat) boli odhalené v nedávnej správe. Výskumníci z Infosec dali aktérom hrozby meno Agrius. Podľa zistení táto skupina APT pôsobí na Blízkom východe a útočí prevažne na izraelské ciele. Agruis sa pokúsil zamaskovať svoje skutočné zámery štruktúrovaním útokov tak, aby vyzerali ako finančne motivované porušenia ransomvéru. Pod nimi sa však skrývali skutočné užitočné zaťaženia nasadené obetiam - niekoľko hrozieb škodlivého softvéru stierača, ktoré boli navrhnuté tak, aby spôsobili masívne narušenie napadnutých entít. Jeden z nových kmeňov stieračov s názvom „Apostle“ sa neskôr vyvinul na plnohodnotný ransomvér. Výskumníci sa však opäť domnievajú, že hrozba bola stále nasadená pre...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

CryptoCore Criminal Group

Výskumníci z Infosec sa domnievajú, že sa im podarilo odhaliť identitu kyberzločineckej skupiny zodpovednej za niekoľko miliónových útočných kampaní zameraných prevažne na burzy kryptomien. Skupina hackerov dostala od bezpečnostných expertov, ktorí sledovali jej činnosť, názov CryptoCore. Pôvodná správa pripisovala útoky východoeurópskym hackerom, ktorí sa pravdepodobne nachádzali v krajinách tohto regiónu, ako je Ukrajina, Rusko a Rumunsko. Viacerí predajcovia kybernetickej bezpečnosti na túto správu nadviazali zverejnením svojich vlastných zistení týkajúcich sa rôznych škodlivých operácií, ktoré vykazovali významné podobnosti s aktivitami pozorovanými výskumníkmi v oblasti bezpečnosti. Správa F-SECURE odhalila podrobnosti o rozsiahlej,...

Uverejnené na January 27, 2022 v Advanced Persistent Threat (APT)

DarkSide APT

DarkSide APT je aktér kyberzločineckých hrozieb modelovaný podľa trendu Ransomware-as-a-Corporation (RaaC). Skupina sa špecializuje na nasadenie ransomvérových útokov proti konkrétne vybraným cieľom. Niektorí výskumníci z infosec odhadli, že DarkSide sa podarilo od svojich obetí vymámiť celkovo 1 milión dolárov. Všeobecné taktiky, techniky a postupy (TTPS) DarkSide vykazujú veľkú podobnosť a v mnohých prípadoch sa prekrývajú s metódami pozorovanými v útočných kampaniach z iných APT, ako sú Sodinokibi , DoppelPaymer, Maze a NetWalker . Čo však odlišuje DarkSide, je vysoko cielený prístup skupiny pri výbere svojich obetí, vytváranie vlastných spustiteľných súborov ransomvéru pre každú cieľovú organizáciu a charakteristiky podobné podnikom,...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Zločinecká skupina Golden Chickens

Golden Chickens je názov priradený zločineckej hackerskej skupine, ktorá sa dokázala etablovať ako popredný poskytovateľ malvérových hrozieb v schéme MaaS (Malware-as-a-Service). Efektívnosť ich škodlivých nástrojov a infraštruktúry Command-and-Control (C2, C&C) dokázala prilákať aj skupiny APT (Advanced Persistent Threat) ako svojich klientov. Golden Chickens ponúkajú svoje služby na podzemných fórach a ich arzenál obsahuje dve stavebnice s názvom Venom a Taurus, ako aj sofistikovanú trójsku hrozbu backdoor s názvom more_eggs (Terra Loader, SpicyOmelette). Škodlivé produkty zlatých kurčiat Prvou stavebnicou ponúkanou Golden Chickens je VenomKit. Ide o špecializovaný nástroj, ktorý umožňuje aktérom hrozieb vytvárať vlastné škodlivé...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Nobelium APT

Nobelium APT sa minulý rok stalo hlavným hráčom na poli kyberšpionáže, keď predtým neznáma hackerská skupina vykonala masívny útok na dodávateľský reťazec proti vývojárovi softvéru SolarWinds. V tom čase spoločnosť Microsoft pridelila názov Solarigate skupine hackerov, ale neskôr ho zmenila na Nobelium. Kybernetická bezpečnostná spoločnosť FireEye sleduje činnosť skupiny pod označením UNC2542. SolarWinds útok  Hack proti SolarWinds videl, že Nobelium nasadilo štyri rôzne kmene malvéru, ktoré im pomohli zorganizovať útok na dodávateľský reťazec. Po prvé, hackeri umiestnili malvér Sunspot na zostavovací server ihneď po narušení siete SolarWinds. Tento malvérový kmeň bol navrhnutý s jediným cieľom – čakať na zostavovacom serveri, kým...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

LazyScripter APT

Výskumníci z Infosec sa domnievajú, že sa im podarilo izolovať aktivitu novej skupiny APT (Advanced Persistent Threat), ktorú nazvali LazyScript. Je potrebné poznamenať, že LazyScript zdieľa pomerne veľa podobností s viacerými už etablovanými skupinami APT, najmä so skupinami zo Stredného východu. Napríklad bolo pozorované, že LazyScript aj MuddyWater používajú malvérové nástroje Empire a Koadic, PowerShell a GitHub ako úložiská dát. Skupina so sídlom v Rusku známa ako APT28 (aka FancyBear) tiež v minulosti používala malvér Koadic. Okrem toho metodika používaná LazyScriptom na konverziu skriptov PowerShell na spustiteľné súbory je rovnaká ako metodika OilRig APT . LazyScript má dostatok jedinečných aspektov na to, aby bolo možné ich...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Domáce mačiatko APT

Domestic Kitten APT, tiež známy ako APT-C-50, je skupina pokročilých pretrvávajúcich hrozieb, ktorá funguje už roky. Aktivity tohto hackerského kolektívu ukazujú, že je štátom podporovaný iránskou vládou. V skutočnosti väčšina cieľov, na ktoré sa zameral Domestic Kitten APT, boli iránski disidenti alebo jednotlivci, ktorí monitorovali hackerskú skupinu.  Podľa údajov zverejnených týmito výskumníkmi začalo domáce mačiatko svoju činnosť v roku 2017 a v súčasnosti má viacero prebiehajúcich útočných kampaní. Doteraz sa skupina zamerala na viac ako 1200 záujmových jedincov a podarilo sa jej dosiahnuť približne 600 úspešných infekcií. Profil obetí zahŕňa disidentov, novinárov, aktivistov za ľudské práva, kurdskú menšinu v Iráne a ďalších....

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)