LATEST
Εντείνονται οι ρωσικές κυβερνοεπιθέσεις στην Ουκρανία
Το Ερευνητικό Κέντρο της ESET δημοσίευσε την τελευταία Έκθεση Δραστηριότητας APT (APT Activity Report), η οποία παρουσιάζει τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Οκτώβριο του 2024 έως τον Μάρτιο του 2025. Βάσει της νέας έκθεσης παρατηρούνται σημαντικές τάσεις στον χώρο των κυβερνοεπιθέσεων τη συγκεκριμένη περίοδο. Συγκεκριμένα, oι φορείς απειλών που συνδέονται με τη Ρωσία, ιδίως οι ομάδες Sednit και Gamaredon, συνέχισαν επιθετικές εκστρατείες, στοχεύοντας κυρίως την Ουκρανία και χώρες της Ευρωπαϊκής Ένωσης. Η Ουκρανία δέχθηκε το μεγαλύτερο πλήγμα από τις κυβερνοεπιθέσεις, οι οποίες επικεντρώθηκαν σε κρίσιμες υποδομές και κυβερνητικούς θεσμούς. Η ομάδα Sandworm, που συνδέεται με τη Ρωσία, ενέτεινε τις καταστροφικές της επιχειρήσεις κατά ουκρανικών εταιρειών ενέργειας, αναπτύσσοντας ένα νέο wiper με την ονομασία ZEROLOT. Παράλληλα, φορείς απειλών που συνδέονται με την Κίνα συνέχισαν τις επίμονες εκστρατείες κυβερνοκατασκοπείας, επικεντρωμένοι σε ευρωπαϊκούς οργανισμούς.
Η ομάδα Gamaredon παρέμεινε ο πιο παραγωγικός φορέας απειλών κατά της Ουκρανίας, ενισχύοντας τις τεχνικές απόκρυψης του κακόβουλου λογισμικού της και παρουσιάζοντας το PteroBox, ένα εργαλείο κλοπής αρχείων που αξιοποιεί το Dropbox. Η ομάδα Sednit βελτίωσε την εκμετάλλευση ευπαθειών τύπου cross-site scripting σε υπηρεσίες webmail, επεκτείνοντας τη δραστηριότητα Operation RoundPress που αρχικά στόχευε το Roundcube, ώστε να συμπεριλάβει επίσης τις πλατφόρμες Horde, MDaemon και Zimbra.
Η ESET ανακάλυψε ότι η ομάδα αξιοποίησε με επιτυχία μια ευπάθεια μηδενικής ημέρας στον διακομιστή ηλεκτρονικού ταχυδρομείου MDaemon για επιθέσεις εναντίον ουκρανικών εταιρειών. Αρκετές επιθέσεις της Sednit σε αμυντικές εταιρείες στη Βουλγαρία και την Ουκρανία πραγματοποιήθηκαν μέσω εκστρατειών spear-phishing, με τη χρήση παραπλανητικών μηνυμάτων e-mail. Μια άλλη ομάδα που συνδέεται με τη Ρωσία, η RomCom, επέδειξε προηγμένες ικανότητες, αξιοποιώντας exploits μηδενικής ημέρας στον Mozilla Firefox και στα Microsoft Windows.
Στην Ασία, οι ομάδες APT που συνδέονται με την Κίνα συνέχισαν τις εκστρατείες τους εναντίον κυβερνητικών φορέων και ακαδημαϊκών ιδρυμάτων. Παράλληλα, φορείς απειλών προσκείμενοι στη Βόρεια Κορέα αύξησαν σημαντικά τη δραστηριότητά τους με στόχο τη Νότια Κορέα, εστιάζοντας σε ιδιώτες, ιδιωτικές εταιρείες, πρεσβείες και διπλωματικό προσωπικό. Η Mustang Panda παρέμεινε η πιο ενεργή ομάδα, στοχεύοντας κυβερνητικά ιδρύματα και εταιρείες θαλάσσιων μεταφορών μέσω Korplug loaders και κακόβουλων μονάδων USB. Οι DigitalRecyclers συνέχισαν να επιτίθενται σε κυβερνητικούς φορείς της ΕΕ, χρησιμοποιώντας το δίκτυο ανωνυμοποίησης KMA VPN και αναπτύσσοντας τα backdoors RClient, HydroRShell και GiftBox. Η ομάδα PerplexedGoblin χρησιμοποίησε το νέο της κατασκοπευτικό backdoor εναντίον μιας κρατικής υπηρεσίας στην Κεντρική Ευρώπη, το οποίο η ESET ονόμασε NanoSlate. Τέλος, η ομάδα Webworm έβαλε στο στόχαστρο έναν κρατικό οργανισμό στη Σερβία, αξιοποιώντας το SoftEther VPN, γεγονός που υπογραμμίζει τη συνεχιζόμενη δημοτικότητα αυτού του εργαλείου μεταξύ ομάδων που συνδέονται με την Κίνα.
Την ίδια περίοδο, άλλες ομάδες που σχετίζονται με τη Βόρεια Κορέα είχαν αλλαγές στον ρυθμό με τον οποίο δρούσαν. Στις αρχές του 2025, οι ομάδες Kimsuky και Konni επέστρεψαν σε κανονικά επίπεδα δραστηριότητας, μετά από αξιοσημείωτη πτώση στο τέλος του 2024. Επιπλέον, άλλαξαν τους στόχους τους, αφήνοντας πίσω αγγλόφωνες δεξαμενές σκέψης, μη κυβερνητικές οργανώσεις και ειδικούς για τη Βόρεια Κορέα, και πλέον επικεντρώνονται κυρίως σε νοτιοκορεατικές οργανώσεις και διπλωμάτες.
