Konfucius APT

Prvé známky aktivity pripisovanej Konfuciovmu APT (Advanced Persistent Threat) sa datujú do roku 2013. Skupina hackerov je odvtedy aktívna, pričom posledná vlna útokov sa odohrala v decembri 2020. Pevne sa verí, že Konfucius je štátom podporovaný a prejavila proindické väzby. V priebehu rokov sa hlavné ciele zameriavajú na vládne agentúry z regiónu juhovýchodnej Ázie, pakistanských vojenských jednotlivcov, jadrové agentúry a indických volebných úradníkov. Skupina sa zamerala najmä na kradnutie údajov a prieskumné operácie, čo formovalo jej súpravu malvérových nástrojov. Prvým, ktorý bol pripísaný Konfuciovi, bol ChatSpy. Bol nasadený ako súčasť operácie v roku 2017 a fungoval ako nástroj dohľadu. V rokoch 2016 až 2019 sa skupina...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

SideWind APT

SideWind je názov priradený skupine hackerov APT (Advanced Persistent Threat), ktorí prejavili trvalý záujem o región južnej Ázie. Skupina je v súčasnosti zapojená do rozsiahlej útočnej kampane proti cieľom v tom istom regióne. Konkrétnejšie, hackeri sa pokúšajú kompromitovať subjekty nachádzajúce sa najmä v Nepále a Afganistane. Medzi potvrdené ciele patrí nepálska armáda, nepálske ministerstvá obrany a zahraničných vecí, ministerstvo obrany Srí Lanky, Rada národnej bezpečnosti Afganistanu a prezidentský palác v Afganistane. Vo svojich operáciách SideWind APT demonštruje schopnosť rýchlo začleniť globálne udalosti a politické problémy špecifické pre región južnej Ázie do svojich phishingových a malvérových kampaní. Skupina už využila...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Bizmut APT

Dlhodobo fungujúca skupina Advanced Persistent Threat (APT) s názvom Bismuth bola pozorovaná, ako sa nedávno snažila skryť svoje aktivity tým, že na svoje ciele nasadila užitočné zaťaženie kryptomeny. V prostredí infosec sa operácie ťažby kryptomien považujú za nekritické problémy a zvyčajne vyvolávajú tlmenejšiu odozvu v porovnaní s prípadmi kyberšpionáže alebo nasadenia ransomvéru. Hlavnou špecializáciou spoločnosti Bismuth bolo vedenie kampaní na zbieranie údajov a špionážne útoky. Skupina funguje minimálne od roku 2012 a počas tohto obdobia sa jej nástroje, techniky a postupy neustále vyvíjali v komplexnosti aj rozsahu. Arzenál skupiny tvorí malvér vyrobený na mieru v kombinácii s open-source nástrojmi. Ich obete pochádzajú zo...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Nerobte APT

DoNot, tiež známy v komunite infosec ako APT-C-35 a SectorE02, je skupina hackerov s pokročilou trvalou hrozbou (APT), ktorej aktivity možno vysledovať niekoľko rokov dozadu až do roku 2012. Počas tohto obdobia sa skupina rozšírila jej operácie zahŕňajú širokú škálu cieľov na niekoľkých kontinentoch – Bangladéš, Thajsko, Srí Lanka, Filipíny, Argentína, Spojené arabské emiráty a Veľká Británia. Hneď od začiatku sa ich hlavný dôraz kládol na región južnej Ázie a Pakistan, Indiu a kašmírsku krízu , konkrétnejšie. Hlavnou špecializáciou skupiny je vykonávanie kyberšpionáže a krádeže údajov. DoNot APT používa hrozivý arzenál pozostávajúci z vlastných výtvorov malvérových nástrojov. Väčšina kampaní zahŕňa zložitý reťazec pripájania, ktorý...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

FunnyDream

FunnyDream je čínskym štátom podporovaná skupina Advanced Persistent Threat, o ktorej je známe, že ide o hackerskú skupinu, ktorá sa snaží infikovať počítače myšlienkou získať prístup k cieleným systémom a potenciálne vykonávať techniky sociálneho inžinierstva a načítanie škodlivého kódu. Pokiaľ ide o FunnyDream, zistilo sa, že vykonáva dlhodobé sledovanie infikovaných systémov. Okrem toho sa FunnyDream môže zamerať na konkrétne údaje o napadnutých systémoch, kde by sa hackeri za skupinou mohli dostať k dokumentom a iným citlivým údajom na viktimizovanom systéme. Útoky FunnyDream mali na svedomí viac ako 200 systémov v juhovýchodnej Ázii vrátane krajín Malajzie, Filipín a Taiwanu. Zdá sa, že skupina hackerov FunnyDream zostáva aktívna a...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

CostaRicto APT

CostaRicto je názov pre hackerskú skupinu, ktorá zjavne funguje ako žoldnier a ponúka svoje služby na prenájom. Jeho aktivity odhalili experti na infosec v BlackBerry, ktorí odhalili rozsiahlu špionážnu kampaň. Takéto skupiny „hackerov na prenájom“ sa čoraz viac objavujú v podsvetí počítačovej kriminality, pretože majú schopnosti a nástroje na rovnakej úrovni ako štátom sponzorované skupiny Advanced Persistent Threat (APT), no môžu pôsobiť na celosvetovej úrovni vo viacerých priemyselných odvetviach. v súlade s potrebami svojich klientov. CostaRicto využíva súpravu nástrojov na mieru vytvorených malvérových hrozieb, ktoré boli buď vytvorené samotnými hackermi, alebo boli objednané výhradne. V kampani kybernetickej špionáže hackeri...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

BlackOasis APT

BlackOasis je názov pre skupinu hackerov APT (Advanced Persistent Threat), ktorí poskytujú vysoko cielené útoky proti konkrétnym obetiam z oblasti Blízkeho východu. Skupina využíva udalosti zo súčasného spravodajského cyklu na vytváranie e-mailov typu spear-phishing a navádzanie dokumentov, ktoré slúžia na skrytie hrozivej aktivity ich súpravy nástrojov. Medzi ciele BlackOasis APT patria predstavitelia OSN, regionálni spravodajcovia, regionálne subjekty, medzinárodní aktivisti a think-tanky. Geologické rozšírenie zistených obetí sa týka krajín Rusko, Nigéria, Irak, Líbya, Jordánsko, Saudská Arábia, Irán, Bahrajn, Holandsko, Angola, Spojené kráľovstvo a Afganistan. Hackeri sa špecializujú na zneužívanie zero-day zraniteľností, ktoré...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Prak APT

Slingshot APT je názov pre vysoko sofistikovanú skupinu hackerov zodpovedných za nasadenie komplexnej hrozby úniku dát. Vzhľadom na charakter svojej činnosti. Výskumníci z infosec sa domnievajú, že cieľom Slingshot APT je firemná špionáž. Metódy, ktoré hackeri používajú, ukazujú, že strávili veľa času vytváraním svojej sady nástrojov pre malvér. Činnosť skupiny pokračovala od roku 2012 minimálne do roku 2018. Útočná platforma vytvorená Slingshotom zahŕňa viacero fáz a niekoľko vektorov kompromisu. Jedna potvrdená metóda bola prostredníctvom smerovačov Mikrotik, ktoré boli upravené tak, aby obsahovali poškodený komponent stiahnutý Winbox Loader, legitímny softvér na správu používaný na konfiguráciu Mikrotiku. Keď používateľ spustí Winbox...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

DeathStalker APT

DeathStalker je názov pre skupinu hackerov APT (Advanced Persistent Threat), o ktorých sa výskumníci domnievajú, že fungujú ako žoldnieri alebo ponúkajú služby na prenájom. Základom pre túto analýzu sú konkrétne charakteristiky zobrazené v operáciách priradených skupine. Na rozdiel od toho, čo sa považuje za typické kyberzločinecké správanie, DeathStalker neinfikuje svoje obete ransomvérom a nezhromažďuje poverenia bankových alebo kreditných/debetných kariet, čo je jasným znakom toho, že hackeri nehľadajú od svojich obetí finančný zisk. Namiesto toho sa zdá, že DeathStalker sa špecializoval na exfiltráciu údajov z veľmi úzkeho okruhu obetí. Okrem ojedinelých výnimiek, ako je napadnutie diplomatického subjektu, skupina dôsledne...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

FIN11 APT

FIN11 APT je označenie pre skupinu hackerov, ktorí sú v prevádzke od roku 2016. Táto konkrétna skupina sa vyznačuje obdobiami extrémnej aktivity, kedy bolo pozorované vykonávanie až piatich útočných kampaní za jeden týždeň, po ktorých nasledujú obdobia, keď je relatívne nečinný. FIN11 nevykazuje príliš sofistikované nástroje pre malvér alebo útočné postupy, ale kompenzuje to veľkým objemom. Zatiaľ čo väčšina podobných skupín APT nedokáže udržať svoju existenciu dlho, FIN11 nielenže funguje už niekoľko rokov, ale prechádza neustálymi zmenami rozširovaním svojich preferovaných cieľov a zmenou zamerania ich útokov. V rokoch 2017 až 2018 sa FIN11 sústredil na útok na úzku skupinu subjektov, väčšinou tých, ktorí pracujú v maloobchodnom,...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

BAHAMUT APT

Bahamut, čo v arabskej tradícii predstavovalo obrovské morské monštrum, ktoré pomáhalo podporovať štruktúru, ktorá drží Zem, pomenovali výskumníci z BlackBerry mimoriadne hrozivej hackerskej skupine. Výskumníci sa domnievajú, že kvôli širokému spektru rôznych cieľov je Bahamut pokročilou trvalou hrozbou (APT), ktorá funguje ako žoldnier najatý súkromnými osobami, korporáciami alebo dokonca vládami. Ďalšou charakteristikou podporujúcou túto teóriu je neuveriteľný prístup k zdrojom, ktoré hackeri musia mať na podporu svojich vysoko cielených a precízne vytvorených útočných kampaní. Bahamut sa zameriava hlavne na phishingové útoky, krádeže poverení a na činnosť skupiny APT veľmi nezvyčajnú, ktorou je šírenie dezinformácií. Bahamut vykonáva...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

ProjectSauron APT

ProjectSauron APT je pokročilá perzistentná hrozba, ktorá je v podstate cielenou útočnou kampaňou, ktorú vedie skupina hackerov, ktorí chcú v niektorých podnikoch nahliadnuť. Takéto ciele ProjectSauron APT môžu byť napadnuté spôsobmi, ktoré utrpia ich podnikanie a nedokážu útok rýchlo prekonať. Hackeri stojaci za ProjectSauron APT poznajú slabé miesta a sú schopní útočiť rôznymi spôsobmi, nielen bežnými spôsobmi cez internet. Systémy infikované malvérom z ProjectSauron APT možno ľahko identifikovať a možno ich napraviť použitím vhodných antimalvérových zdrojov.

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

APT31/Zirkónium

Snímka obrazovky APT31/Zirkónium

APT31 je skupina pokročilých perzistentných hrozieb so zameraním na krádeže duševného vlastníctva a malvertising. Túto skupinu rôzne bezpečnostné organizácie nazývajú aj Zirconium, Judgment Panda a Bronze Vinewood. Rovnako ako u väčšiny ostatných skupín APT existujú podozrenia, že APT31 môže byť sponzorovaný štátom a v tomto prípade je podozrivým štátom Čína. V lete 2020 skupina pre analýzu hrozieb Google naznačila, že APT31 sa zameriava na prezidentskú kampaň Joea Bidena pomocou phishingových e-mailov. Nedávno TAG videl, že skupina China APT sa zameriava na zamestnancov kampane Biden a skupina Iran APT sa zameriava na zamestnancov kampane Trump pomocou phishingu. Žiadny náznak...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

Lyceum APT

Názvy Lyceum a Hexane sú označenia infosec pre tú istú skupinu hackerov Advanced Persistent Threat (APT). Zločincom sa podarilo operovať pod radarom takmer rok, kým sa ich aktivity v auguste 2019 dostali na povrch. Lyceum je vysoko špecializovaný aktér hrozieb, ktorý sa zameriava na zhromažďovanie poverení a exfiltráciu údajov. Ich cieľom je veľmi úzka skupina organizácií nachádzajúcich sa v jednom špecifickom geografickom regióne – ropné, plynárenské a telekomunikačné subjekty, ktoré sú aktívne na Blízkom východe. Lyceum využíva komplexný reťazec útokov proti vybranej obeti, ktorý pozostáva z viacerých etáp. Aby získali oporu v cieľovej sieti, hackeri používajú rôzne taktiky sociálneho inžinierstva na doručenie otrávených dokumentov...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)

XDSpy

Aktivity kontrolnej skupiny, ktorá uniká pozornosti komunity infosec minimálne od roku 2011, boli konečne vynesené na svetlo. Výskumníci nazvali zločinecký kolektív XDSpy a domnievajú sa, že ide o štátom podporovanú APT (Advanced Persistent Threat). Hlavným pôsobiskom XDSpy je východná Európa a Balkán, pričom jej ciele siahajú od súkromných subjektov až po vládne organizácie. Prvýkrát boli operácie skupiny presvedčivo odhalené, keď bieloruský tím pre počítačovú núdzovú pohotovosť vydal varovanie, že vtedy nemenovaný hackerský kolektív sa pokúša zbierať údaje z ministerstiev v krajine. Okrem Bieloruska sa XDSpy zamerala na subjekty nachádzajúce sa okrem iného v Rusku, Moldavsku, Ukrajine a Srbsku. Obete vykazujú značný počet rôznych...

Uverejnené na January 25, 2022 v Advanced Persistent Threat (APT)