ESET publiceert het nieuwste APT Activity Report Q2- Q3 2024

eset-apt activity report 1

ESET-onderzoekers hebben het nieuwste APT Activity Report uitgebracht, waarin de activiteiten worden belicht van geselecteerde APT-groeperingen (advanced persistent threat) die door ESET-onderzoekers zijn gedocumenteerd van april 2024 tot eind september 2024.

ESET observeerde onder andere een opmerkelijke uitbreiding van de aanvallen door het Chinese MirrorFace. De groep richtte zich gewoonlijk op Japanse entiteiten, maar breidde zijn activiteiten voor het eerst uit naar een diplomatieke organisatie in de Europese Unie, terwijl het zijn Japanse doelwitten prioriteit bleef geven. 

Daarnaast vertrouwen Chinese APT-groepen steeds vaker op het open-source en multiplatform SoftEther VPN om toegang te houden tot de netwerken van slachtoffers. Onderzoekers hebben ook aanwijzingen waargenomen dat groepen die gelieerd zijn aan Iran hun cybercapaciteiten gebruiken om diplomatieke spionage en mogelijk kinetische operaties te ondersteunen.

“Met betrekking tot de Chinese dreigingsactoren ontdekten we uitgebreid gebruik van de SoftEther VPN door Flax Typhoon, zagen we dat Webworm overschakelde van zijn volledige backdoor naar het gebruik van de SoftEther VPN Bridge op machines van overheidsorganisaties in de EU en zagen we dat GALLIUM SoftEther VPN-servers inzet bij telecommunicatiebedrijven in Afrika”, zegt Jean-Ian Boutin, directeur van Threat Research bij ESET. “Voor de eerste keer zagen we dat MirrorFace zich richtte op een diplomatieke organisatie binnen de EU, een regio die een brandpunt blijft voor verschillende dreigingsactoren die gelieerd zijn aan China, Noord-Korea en Rusland. Veel van deze groepen zijn vooral gericht op overheidsinstanties en de defensiesector,” voegt hij eraan toe.

Aan de andere kant brachten Iraanse groeperingen verschillende financiële dienstverleners in gevaar in Afrika (een continent dat geopolitiek belangrijk is voor Iran), voerden zij cyberspionage operaties gericht op  Irak en Azerbeidzjan (buurlanden waarmee Iran complexe betrekkingen onderhoudt), en vergrootten zij hun interesse in de transportsector in Israël. Ondanks deze schijnbaar nauwe geografische gerichtheid, bleven de groepen die Iran steunen zich wereldwijd richten en achtervolgden ze ook diplomatieke vertegenwoordigers in Frankrijk en onderwijsorganisaties in de Verenigde Staten.

Noord-Koreaanse dreigingsactoren bleven doorgaan met hun jacht op gestolen geld, zowel traditionele valuta als cryptocurrencies. ESET-onderzoekers hebben waargenomen dat deze groepen hun aanvallen op defensie- en ruimtevaartbedrijven in Europa en de VS voortzetten, maar ook ontwikkelaars van cryptocurrencies, denktanks en NGO's als doelwit kiezen. Eén van deze groepen, Kimsuky, begon misbruik te maken van Microsoft Management Console-bestanden, die meestal worden gebruikt door systeembeheerders maar die elk Windows-commando kunnen uitvoeren. Daarnaast maakten verschillende groepen die gelieerd zijn aan Noord-Korea veelvuldig misbruik van populaire cloud-gebaseerde diensten.

Tot slot ontdekten ESET-onderzoekers cyberspionagegroepen die aan Rusland gelieerd zijn en zich vaak richten op webmailservers zoals Roundcube en Zimbra, meestal met spearphishingmails die bekende XSS-kwetsbaarheden activeren. Naast Sednit, dat zich richt op overheids-, academische en defensiegerelateerde entiteiten wereldwijd, identificeerde ESET een andere aan Rusland gelieerde groep, GreenCube, die e-mailberichten steelt via XSS-kwetsbaarheden in Roundcube. Andere groepen die aan Rusland gelieerd zijn, bleven zich richten op Oekraïne. Zo zette Gamaredon  grote spearphishing-campagnes op, terwijl het zijn tools opnieuw bewerkte door gebruik te maken van de berichtenapps Telegram en Signal en deze te misbruiken. Daarnaast gebruikte Sandworm zijn nieuwe Windows-backdoor WrongSens. ESET analyseerde ook het publieke hacken en lekken van gegevens van het Poolse antidopingagentschap, dat waarschijnlijk werd gecompromitteerd door een initiële tussenpersoon die vervolgens de toegang deelde met de aan Wit-Rusland gelieerde FrostyNeighbor APT-groep, een entiteit achter cyber-enabled desinformatiecampagnes kritisch over de NAVO.

In Azië stelde ESET vast dat campagnes zich voornamelijk bleven richten op overheidsorganisaties. Het onderzoek merkte echter ook een toegenomen nadruk op de onderwijssector op, met name gericht op onderzoekers en academici die zich richten op het Koreaanse schiereiland en Zuidoost-Azië. Deze verschuiving werd veroorzaakt door dreigingsactoren die op één lijn zaten met de belangen van China en Noord-Korea. Lazarus, één van de Noord-Koreaanse groepen, bleef wereldwijd aanvallen uitvoeren op entiteiten in de financiële en technologiesector. In het Midden-Oosten bleven verschillende aan Iran gelieerde APT-groepen aanvallen uitvoeren op overheidsorganisaties, waarbij Israël het meest getroffen land was.

In de afgelopen twintig jaar is Afrika een belangrijke geopolitieke partner voor China geworden en ESET-onderzoekers hebben gezien dat groepen die aan China gelieerd zijn hun activiteiten op dat continent hebben uitgebreid. In Oekraïne bleven de aan Rusland gelieerde groepen het meest actief, met zware gevolgen voor overheidsinstanties, de defensiesector en essentiële diensten zoals energie, water en warmtevoorziening.

De uitgelichte operaties zijn representatief voor het bredere dreigingslandschap dat ESET onderzocht tijdens deze periode. ESET’s oplossingen beschermen de systemen van hun klanten tegen de kwaadaardige activiteiten die in dit rapport worden beschreven. De informatie die hier wordt gedeeld is grotendeels gebaseerd op eigen telemetriegegevens van ESET. Diepgaande analyses van deze dreigingsinformatie, bekend als ESET APT Reports PREMIUM, helpen organisaties die als doel hebben burgers, kritieke nationale infrastructuur en waardevolle activa te beschermen tegen criminele en door de staat gestuurde cyberaanvallen. Meer informatie over ESET APT Reports PREMIUM en de levering van hoogwaardige, strategische, bruikbare en tactische informatie over cyberdreigingen is beschikbaar op de ESET Threat Intelligence-pagina. 

Je kunt het volledige ESET APT Activity Report lezen op digitalsecurityguide.com. 

Lees ook
Social engineeringtechniek ClickFix overspoelt dreigingslandschap

Social engineeringtechniek ClickFix overspoelt dreigingslandschap

ClickFix vertegenwoordigt een stijgende en effectieve social engineeringtactiek. Nu traditionele aanvalsvectoren minder effectief worden, vertrouwen dreigingsactoren steeds meer op het manipuleren van menselijk gedrag. Organisaties doen er verstandig aan om hun mensen te trainen in het herkennen

KnowBe4 introduceert alles-in-een human risk management platform HRM+

KnowBe4 introduceert alles-in-een human risk management platform HRM+

KnowBe4, het cybersecurityplatform op het gebied van human risk management, introduceert HRM+. Dit alles-in-één platform combineert de security awareness-trainingen van KnowBe4 met de AI-gedreven e-mailbeveiliging van Egress. Het platform zet in op persoonlijke relevantie en flexibiliteit en biedt daarmee uitgebreid beheer van cyberbeveiligingsris1

IT- en securitybedrijf DTX benoemt Erik Ploegmakers tot CEO

IT- en securitybedrijf DTX benoemt Erik Ploegmakers tot CEO

DTX, een Nederlandse onderneming met 25 jaar ervaring in cloud, security en business solutions benoemt per 1 januari 2025 Erik Ploegmakers tot CEO. In zijn nieuwe rol wordt Ploegmakers verantwoordelijk voor het aansturen van het bedrijf en het realiseren van de strategische visie en doelstellingen van DTX.