- Grupy APT El Machete, Lyceum i SideWinder zostały przyłapane na prowadzeniu kampanii spear-phishingowych w pięciu krajach
- Przestępcy i ich ofiary nie są skoncentrowane w jednym regionie, ale obejmują cały świat, głównie Amerykę Łacińską, Bliski Wschód i Azję.
- Grupy przestępcze wykorzystują programy, które umożliwiają m.in. key-logging, zbieranie poświadczeń przechowywanych w Chrome i Firefox, zbieranie informacji o plikach na dysku, wykonywanie zrzutów ekranu, zbieranie danych ze schowka czy wykonywanie poleceń.
Rosyjsko-ukraińską wojnę zaczynają wykorzystywać grupy cyberprzestępcze do rozprzestrzeniania złośliwego oprogramowania i wabienia swoich ofiar w celach szpiegowskich. W swoim najnowszym raporcie Check Point Research opisuje trzy grupy APT prowadzące kampanie spear-phishingowe. Wykorzystywały one „wabiki” w postaci podrobionych dokumentów, artykułów prasowych oraz ofert pracy. Celem cyberprzestępców ma być przede wszystkim kradzież poufnych informacji z rządów, banków i firm energetycznych.
Wiele z grup przestępczych wykorzystuje dokumenty o tematyce rosyjsko-ukraińskiej do rozprzestrzeniania złośliwego oprogramowania i wabienia ofiar w cyberszpiegostwo. W zależności od celu i regionu, napastnicy używają wabików, od dokumentów wyglądających oficjalnie po artykuły z wiadomościami z frontu i ogłoszenia o pracy. Specjaliści bezpieczeństwa cybernetycznego z Check Point Research uważają, że motywacją kampanii jest cyberszpiegostwo. Grupy zagrożenia i ich ofiary nie są skoncentrowane w jednym regionie, ale obejmują cały świat, głównie Amerykę Łacińską, Bliski Wschód i Azję.
W swoim badaniu Check Point Research opisuje trzy grupy APT, nazwane El Machete, Lyceum i SideWinder, które niedawno zostały przyłapane na prowadzeniu kampanii spear-phishingowych w pięciu krajach.
Nazwa grupy APT | Pochodzenie grupy | Obrany sektor | Namierzone kraje |
El Machete | Kraj hiszpańskojęzyczny | Finansowy, rządowy | Nikaragua, Wenezuela |
Lyceum | Islamska Republika Iranu | Energetyczny | Izrael, Arabia Saudyjska |
SideWinder | Prawdopodobnie Indie | Nieznany | Pakistan |
Analitycy zbadali również złośliwe oprogramowanie występujące w każdej z trzech grup APT, w szczególności pod kątem działań cyberszpiegowskich. Możliwości programów obejmują m.in. key-logging, zbieranie poświadczeń przechowywanych w Chrome i Firefox, zbieranie informacji o plikach na dysku, wykonywanie zrzutów ekranu, zbieranie danych ze schowka czy wykonywanie poleceń.
– Obserwujemy kampanie APT, które wykorzystują obecną wojnę do dystrybucji złośliwego oprogramowania. Kampanie są wysoce ukierunkowane i wyrafinowane, koncentrując się na ofiarach w sektorach rządowym, finansowym i energetycznym. W naszym najnowszym raporcie opisujemy i przedstawiamy przykłady z trzech różnych grup APT, które pochodzą z różnych części świata. Jestem przekonany, że kampanie są zaprojektowane w celu cyberszpiegostwa. Nasze ustalenia pokazują wyraźny trend, że tematyka wojny rosyjsko-ukraińskiej stało się przynętą wybieraną przez grupy zagrożeń na całym świecie. Gorąco polecam rządom, bankom i firmom energetycznym do ponownego informowania pracowników o świadomości i edukacji cybernetycznej oraz do wdrażania rozwiązań w zakresie cyberbezpieczeństwa, które chronią sieć na wszystkich poziomach – mówi Sergey Shykevich, Menedżer grupy wywiadu zagrożeń w Check Point Software
Niedawno Check Point Research opublikował aktualizację danych dotyczących cyberataków w trakcie wojny rosyjsko-ukraińskiej. Miesiąc po wybuchu wojny 24 lutego 2022 r. zarówno Rosja, jak i Ukraina odnotowały wzrost liczby cyberataków o odpowiednio 10% i 17%. Zaobserwowano również 16-procentowy wzrost cyberataków na całym świecie w całym bieżącym konflikcie.