Tehdit aktörleri dünyanın dört bir yanında

6 aylık d?nemler halinde yayımlanan rapor bu d?nemde, Ke3chang ve Mustang Panda gibi ?in bağlantılı tehdit akt?rleri Avrupa şirketlerine odaklandı. İsrail’de, İran bağlantılı grup, OilRig, yeni bir ?zel arka kapı dağıttı. Kuzey Kore ile bağlantılı gruplar, G?ney Kore’deki ve G?ney Kore ile ilgili şirketlere odaklanmaya devam etti. Rusya ile bağlantılı APT grupları ?zellikle Ukrayna ve AB ?lkelerinde aktif olduğu g?r?ld? ve Sandworm, siliciler yerleştirdi.?

ESET APT Faaliyet Raporunda belirtilen k?t? ama?lı faaliyetler, ESET teknolojisi tarafından algılanıyor. ESET Tehdit Araştırma Y?neticisi Jean-Ian Boutin bu konuda şunları s?yledi:

“ESET ?r?nleri, m?şterilerimizin sistemlerini bu raporda belirtilen k?t? ama?lı faaliyetlere karşı koruyor. Burada paylaşılan istihbarat ?oğunlukla tescilli ESET telemetrisine dayanıyor ve ESET Research tarafından doğrulanıyor.” ?

?in bağlantılı Ke3chang, yeni bir Ketrican varyantının dağıtılması gibi y?ntemlere başvururken Mustang Panda iki yeni arka kapı kullanmaya başladı.?MirrorFace, Japonyayı hedef alarak yeni k?t? ama?lı yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Operasyonu destek temsilcilerini hedef aldı ve Filipinler'deki bir kumar şirketini ele ge?irdi. Hindistan'a bağlı gruplar SideWinder ve Donot Team, G?ney Asya'daki h?kumet kurumlarını hedef almaya devam ederken, SideWinder ?in’deki eğitim sekt?r?n? hedef aldı ve Donot Team, k?t? ?ne sahip yty ?er?evesini geliştirmeye devam ederek aynı zamanda piyasadaki Remcos RAT'ı da devreye aldı. Ayrıca ESET, G?ney Asya'da ?ok sayıda Zimbra web postası kimlik avı girişimi tespit etti.

Kuzey Kore bağlantılı bir grup olan Lazarus, Boeing i?eriğine sahip sahte bir iş teklifiyle Polonya'daki bir savunma şirketinin ?alışanlarını hedeflemenin yanı sıra, Accenture i?erikli bir yem kullanarak her zamanki hedeflerinden farklı olarak Hindistan'daki bir veri y?netimi şirketine odaklandı. Ayrıca ESET, kampanyalarından birinde kullandıkları bir Linux k?t? ama?lı yazılımını da belirledi. Bu yeni keşfedilen k?t? ama?lı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında k?t? bir ?ne sahip Kuzey Kore bağlantılı grubun olduğu teorisini destekliyor.?

SturgeonPhisher grubunun faaliyetlerinde azalma sağlandı

Rusya ile bağlantılı APT gruplarının ?zellikle Ukrayna ve AB ?lkelerinde aktif olduğu g?r?ld?. Bu gruplar, silici yerleştiren Sandworm’un (SwiftSlicer olarak ESET’in adlandırdığı yeni bir tane daha) yanı sıra Gamaredon, Sednit ve hedefe y?nelik kimlik avı e-postaları g?nderen, Dukes kullanıyor. Bunun bir ?rneğine Dukes’da olduğu gibi Brute Ratel olarak bilinen kırmızı ekip implantının uygulanmasında rastlanıyor. Son olarak, ESET daha ?nce bahsedilen Zimbra e-posta platformunun ?zellikle Avrupa'da aktif bir grup olan Winter Vivern tarafından da suistimal edildiğini tespit ederek hedefe y?nelik kimlik avı e-postaları ile Orta Asya ?lkelerinin h?kumet ?yelerini hedef alan SturgeonPhisher grubunun faaliyetlerinde ?nemli bir azalma kaydetti. Bu tespitten sonra ESET, grubun kendini yenileme durumuna ge?tiğini d?ş?n?yor.