Znana grupa cyberprzestępcza Lazarus, której głównym celem jest szpiegostwo, zaatakowała w pierwszym kwartale 2023 roku polskiego dostawcę usług zbrojeniowych, twierdzą analitycy ESET. Do pracowników firmy trafiły fałszywe oferty pracy, podszywające się pod markę Boeing. Do akcji wykorzystano zainfekowaną wersję czytnika plików PDF opartego na czytniku SumatraPDF oraz złośliwe oprogramowanie RAT o nazwie ScoringMathTea i złożony program do pobierania plików nazwany przez badaczy ImprudentCook.

To nie pierwszy raz, kiedy powiązany z Koreą Północną Lazarus koncentruje się na działaniach wymierzonych w ten sektor w Europie, opartych na podobnym mechanizmie ataku. Już w 2020 r. badacze ESET informowali o działaniach grupy przeciwko europejskim kontrahentom z branży lotniczej i obronnej. Operacja nazwana In(ter)ception wykorzystywała wtedy media społecznościowe, zwłaszcza LinkedIn. Cyberprzestępcy budowali zaufanie niczego niepodejrzewających pracowników, a następnie wysyłali im złośliwe komponenty podszywające się pod opisy stanowisk lub aplikacje.

Zobacz również:

• Cyberwojna trwa na Bliskim Wschodzie

Oprócz polskiego sektora obronnego Lazarus w ostatnim czasie skierował również swoją uwagę na firmę zarządzającą danymi w Indiach. Tym razem wykorzystano do tego celu bezprawnie markę Accenture, również za pośrednictwem ataku przez pocztę e-mail. Mechanizm, w którym cyberprzestępcy bezprawnie powołują się na znane marki również jest powtarzalny, podobne akcje miały np. miejsce pod koniec 2022 roku, wówczas powoływano się m.in. na firmy takie jak IBM i Airbus.

„ Grupy APT to jedne z najgroźniejszych organizacji cyberprzestępczych. Ich motywacje są często szpiegowskie lub destrukcyjne, rzadziej pieniężne. Dysponują sporym zapleczem technologicznym i finansowym. Planując swoje ukierunkowane akcje, bardzo uważnie przyglądają się sytuacji geopolitycznej. Testują wciąż nowe działania lub udoskonalają swoje sprawdzone metody działań”, mówi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET.

Cyberprzestępcy uderzają głównie tam, gdzie toczą się konflikty bądź sytuacja międzynarodowa jest napięta, testując wciąż nowe metody ataków — wynika z zestawienia „APT activity report Q4 2022-Q1 2023”. Dane zebrane przez ESET pokazują m.in. że w tym czasie powiązane z Rosją grupy APT były szczególnie aktywne na Ukrainie i w krajach UE. Powiązana z Iranem grupa OilRig zaatakowała w Izraelu, wykorzystując nowy typ konia trojańskiego. Z kolei powiązani z Chinami cyberprzestępcy z grup Ke3chang i Mustang Panda skupiali się na atakach na europejskie firmy. Grupy wywodzące się z Korei Północnej atakowały natomiast głównie podmioty z Korei Południowej. „Z danych wynika, że wśród krajów atakowanych przez zorganizowane, cyberprzestępcze grupy w okresie od października 2022 do marca 2023 znalazły się m.in. Ukraina, Japonia, Korea Południowa, Tajwan, Wielka Brytania, USA, Polska oraz inne kraje UE. Zaawansowane akcje dotykały m.in. organizacji rządowych, samorządowych, dyplomatów, mediów, firm z sektora zbrojeniowego, energetycznego, edukacyjnego, finansowego, zdrowia oraz zajmujących się zarządzaniem danymi. Dane telemetryczne ESET pokazują, że cyberprzestępcy przeprowadzali m.in. zaawansowane akcje ukierunkowane na poszczególne osoby (tzw. ataki typu spearphishing), poprzedzone podstępną fazą budowania zaufania”, komentuje Kamil Sadkowski.

Powiązane z Rosją grupy APT były w omawianym półroczu szczególnie aktywne na Ukrainie i w krajach UE. Aby osiągać swoje cele, sięgały przede wszystkim po zaawansowane złośliwe oprogramowanie, phishing e-mailowy i narzędzia typu Brute Ratel (wykorzystywane w testach bezpieczeństwa, tzw. pentestach). Grupa zwana Sandworm atakowała głównie ukraiński rząd, media i sektor energetyczny. Wdrażała oprogramowanie typu wiper (służące do złośliwego usuwania danych), w tym jego nowy typ, zwany SwiftSlicer. Z kolei grupy Gamaredon, Sednit i Dukes koncentrowały się na phishingu i rozsyłaniu fałszywych wiadomości e-mail. Gamaredon przeprowadził np. w tym czasie złośliwą kampanię spearphishingu (wyrafinowane wyłudzenia danych lub informacji, wymierzone w konkretne osoby) atakującą instytucje rządowe w kilku krajach UE. Natomiast aktywna w Europie grupa Winter Vivern wykorzystała do swoich ataków platformę pocztową Zimbra.

Dane ESET pokazują także, że wywodzące się z Azji grupy cyberprzestępców intensywnie rozwijały swoje metody ataków. Powiązana z Chinami grupa Ke3chang skoncentrowała się na wykorzystaniu nowego wariantu trojana Ketrican, a grupa Mustang Panda użyła dwóch nowych rozwiązań typu koń trojański (otwierających tylne furtki w atakowanych systemach). MirrorFace zaatakował w Japonii, rozwijając nowe metody infekcji złośliwym oprogramowaniem, podczas gdy ChattyGoblin naraziła na szwank firmę hazardową na Filipinach, atakując jej pracowników ds. wsparcia. Powiązane z Indiami grupy SideWinder i Donot Team nadal atakowały instytucje rządowe w Azji Południowej. Pierwsza z nich koncentrowała się głównie na atakach na sektor edukacji w Chinach, a druga nadal rozwijała złośliwe oprogramowanie zwane yty i wykorzystywała trojana Remcos RAT. W Azji Południowej zespół badawczy ESET wykrył również dużą liczbę prób phishingu, związanych z pocztą internetową firmy Zimbra. Odnotowano natomiast znaczny spadek aktywności grupy SturgeonPhisher, atakującej zazwyczaj mailowo pracowników rządowych z Azji Środkowej. Prawdopodobnie grupa jest obecnie w trakcie zmiany swojej taktyki i narzędzi.

Więcej informacji na temat omawianych danych można zaleźć w pełnym raporcie „ESET APT Activity Report”.