ESET的最新APT报告显示,2024年10月至2025年3月期间,俄罗斯、中国和朝鲜的网络攻击活动显著增加。欧洲和乌克兰成为主要目标,尤其是关键基础设施和政府机构。中国Mustang Panda和UnsolicitedBooker活跃于欧洲运输业;朝鲜Kimsuky、Konni及Andariel针对韩国;俄罗斯Sandworm、Sednit及RomCom则重点攻击乌克兰及北约相关机构。 2025-5-20 13:45:31 Author: www.securityinfo.it(查看原文) 阅读量:8 收藏
ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
Mag 20, 2025 Approfondimenti, Attacchi, Attacchi, Campagne malware, Minacce, Minacce, News, RSS
Ieri ESET ha pubblicato l’ultimo APT report relativo al periodo ottobre 2024 – marzo 2025, evidenziando un aumento significativo di operazioni di gruppi russi, cinesi e nordcoreani.
L’Europa risulta una delle aree maggiormente colpite da questi attacchi, soprattutto da gruppi APT che collaborano col governo cinese. L’Ucraina è stato il Paese che ha registrato il maggior numero di campagne subite, per lo più a opera della Russia contro infrastrutture critiche e istituzioni governative.
Colored hacker code realistic composition with person creates codes for hacking and stealing information vector illustration
I gruppi della Corea del Nord hanno intensificato le operazioni contro la Corea del Sud, prendendo di mira non solo ambasciate e personale diplomatico, ma anche aziende private e singoli individui.
Le attività principali sono da collegare a Deceptive Development, un gruppo che agisce per scopi finanziari. I cyberattaccanti prendono di mira sviluppatori Windows, Linux e macOS per rubare criptovalute. La gang agisce pubblicando finti annunci di lavoro per dozzine di compagnie, da piccole startup a grandi nomi dei settori finanziario, delle criptovalute e della blockchain, oltre che società di investimento.
Il gruppo ha cominciato a utilizzare ClickFix, una tecnica di social engineering diventata particolarmente popolare negli ultimi tempi. La gang ha sfruttato la tecnica per distribuire WeaselStore, un malware multipiattaforma.
I gruppi nordcoreani Kimsuky e Konni hanno ripreso un elevato livello di attività dopo il calo di fine 2024; contemporaneamente Andariel, rimasto inattivo per un anno, è tornato alla carica attaccando un’azienda sudcoreana specializzata in software industriale.
Per quanto riguarda la Cina, il gruppo più attivo è stato Mustang Panda, il quale ha colpito enti governativi e aziende del settore dei trasporti marittimi europeo usando loader Korplug e chiavette USB infette.
Durante il periodo preso in esame, ESET ha analizzato anche le attività di UnsolicitedBooker, un gruppo cinese che ha sviluppato numerose backdoor (tra le quali Chinoxy, DeedRAT, Poison Ivy e BeRAT) e le ha rese disponibili anche ad altre gang cybercriminali. “Il gruppo ha anche sviluppato dei file stealer custom; per questo motivo, riteniamo che gli obiettivi di questi attaccanti siano lo spionaggio e il furto di dati” si legge nel report.
Le attività dei gruppi APT russi
Nel periodo analizzato dal report sono emersi numerosi gruppi russi che hanno preso di mira l’Europa e in particolare l’Ucraina. Il gruppo Sandworm, affiliato al governo russo, ha intensificato le operazioni distruttive contro le aziende energetiche ucraine distribuendo ZEROLOT, un nuovo wiper. Il wiper, una volta eseguito, elimina tutti i file nelle sotto-cartelle di C:\Users\, fatta eccezione per i file con estensioni .dll, .exe e .sys, e tutti i driver logici eccetto C:.
Notevole anche l’attività di Sednit, il gruppo dietro la campagna Operation Roundpress. Negli ultimi mesi la cybergang russa ha ampliato le proprie attività di spearphishing per colpire, oltre a Roundcube, servizi webmail come Horde, MDaemon e Zimbra. Le email inviate contengono degli exploit XSS che puntano a eseguire codice Javascript malevolo nel client webmail per ottenere messaggi scambiati e l’elenco dei contatti della vittima.
Un altro gruppo russo molto attivo è RomCom (Storm-0978), il quale conduce sia campagne di cybercrime che di cyberspionaggio. RomCom, attivo almeno dal 2022, è legato al ransomware Cuba e ha colpito non solo il governo ucraino, ma anche diversi alleati della NATO e numerose organizzazioni governative europee.
Il gruppo più attivo contro l’Ucraina si è però confermato essere Gamaredon, il quale ha migliorato le proprie tecniche di offuscamento del malware e ha introdotto PteroBox, un file stealer che sfrutta Dropbox. “Il famigerato gruppo Sandworm si è concentrato in modo massiccio sul compromettere le infrastrutture energetiche ucraine. In alcuni casi recenti ha distribuito il wiper ZEROLOT, sfruttando le Group Policy di Active Directory all’interno delle organizzazioni colpite” ha affermato Jean-Ian Boutin, Director of Threat Research di ESET.
Altre attività degne di note sono quelle di APT-C-60, un gruppo sud-coreano che ha preso di mira gli utenti giapponesi di VirusTotal. Si suppone che il gruppo stia colpendo obiettivi legati alla Corea del Nord.
ESET ha inoltre evidenziato una campagna di phishing altamente targetizzata dove gli attaccanti impersonavano il World Economic Forum e gestivano siti web falsi relativi alle elezioni con l’obiettivo di raccogliere informazioni sensibili sui diplomatici ucraini. Non si conosce ancora l’identità degli attaccanti. Significative anche le attività di StealthFalcon contro Turchia e Pakistan.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh