ตามรายงานของนักวิจัย ESET กลุ่ม APT ที่เชื่อมโยงกับรัสเซียยังคงมีส่วนร่วมในปฏิบัติการที่กำหนดเป้าหมายไปที่ยูเครนโดยเฉพาะ โดยใช้ตัวล้างข้อมูลทำลายล้างและแรนซัมแวร์ในช่วงเวลานี้ Goblin Panda ซึ่งเป็นกลุ่มบริษัทในเครือของจีน เริ่มเลียนแบบความสนใจของ Mustang Panda ในประเทศแถบยุโรป กลุ่มที่เชื่อมโยงกับอิหร่านยังปฏิบัติการในระดับสูง นอกเหนือจาก Sandworm แล้ว กลุ่ม APT ของรัสเซียอื่นๆ เช่น Callisto, Gamaredon ยังคงโจมตีแบบฟิชชิงโดยมีเป้าหมายที่พลเมืองยุโรปตะวันออก
ไฮไลท์ของรายงานกิจกรรม ESET APT มีดังนี้:
ESET ตรวจพบว่ากลุ่มแซนด์เวิร์มชื่อกระฉ่อนในยูเครนกำลังใช้ซอฟต์แวร์ล้างข้อมูลที่ไม่รู้จักก่อนหน้านี้กับบริษัทภาคพลังงาน การดำเนินการของกลุ่ม APT มักดำเนินการโดยรัฐหรือผู้เข้าร่วมที่รัฐสนับสนุน การโจมตีดังกล่าวเกิดขึ้นในช่วงเวลาเดียวกับที่กองทัพรัสเซียเปิดตัวขีปนาวุธโจมตีเป้าหมายโครงสร้างพื้นฐานด้านพลังงานในเดือนตุลาคม แม้ว่า ESET ไม่สามารถพิสูจน์การประสานกันระหว่างการโจมตีเหล่านี้ได้ แต่ก็จินตนาการว่า Sandworm และกองทัพรัสเซียมีเป้าหมายเดียวกัน
ESET ได้ตั้งชื่อให้ NikoWiper เป็นซอฟต์แวร์ตัวล้างข้อมูลล่าสุดที่ค้นพบก่อนหน้านี้ ซอฟต์แวร์นี้ใช้กับบริษัทที่ดำเนินธุรกิจด้านพลังงานในยูเครนในเดือนตุลาคม 2022 NikoWiper ใช้ SDelete ซึ่งเป็นยูทิลิตีบรรทัดคำสั่งที่ Microsoft ใช้เพื่อลบไฟล์อย่างปลอดภัย นอกจากมัลแวร์ล้างข้อมูลแล้ว ESET ยังค้นพบการโจมตีแบบแซนด์เวิร์มที่ใช้แรนซัมแวร์เป็นตัวล้าง แม้ว่าจะใช้แรนซัมแวร์ในการโจมตีเหล่านี้ แต่จุดประสงค์หลักคือเพื่อทำลายข้อมูล ซึ่งแตกต่างจากการโจมตี ransomware ทั่วไป ตัวดำเนินการ Sandworm ไม่ได้ให้คีย์ถอดรหัส
ในเดือนตุลาคม 2022 ESET ตรวจพบแรนซั่มแวร์ Prestige ว่าใช้กับบริษัทโลจิสติกส์ในยูเครนและโปแลนด์ ในเดือนพฤศจิกายน 2022 แรนซัมแวร์ตัวใหม่ที่เขียนด้วย .NET ชื่อ RansomBoggs ถูกค้นพบในยูเครน ESET Research เผยแพร่แคมเปญนี้สู่สาธารณะในบัญชี Twitter นอกจาก Sandworm แล้ว กลุ่ม APT ของรัสเซียอื่นๆ เช่น Callisto และ Gamaredon ยังคงโจมตีแบบฟิชชิงที่มีเป้าหมายในยูเครนเพื่อขโมยข้อมูลรับรองและฝังรากฟันเทียม
นักวิจัยของ ESET ยังตรวจพบการโจมตีแบบฟิชชิ่ง MirrorFace ที่กำหนดเป้าหมายนักการเมืองในญี่ปุ่น และสังเกตเห็นการเปลี่ยนเฟสในการกำหนดเป้าหมายกลุ่มที่เชื่อมโยงกับจีนบางกลุ่ม Goblin Panda เริ่มคัดลอกความสนใจของ Mustang Panda ในประเทศแถบยุโรป ในเดือนพฤศจิกายน ESET ได้ค้นพบ Goblin Panda แบ็คดอร์ตัวใหม่ที่เรียกว่า TurboSlate ที่หน่วยงานรัฐบาลในสหภาพยุโรป Mustang Panda ยังคงกำหนดเป้าหมายไปยังองค์กรในยุโรป ในเดือนกันยายน รถตัก Korplug ที่ใช้โดย Mustang Panda ถูกระบุที่องค์กรในภาคพลังงานและวิศวกรรมของสวิตเซอร์แลนด์
กลุ่มที่เชื่อมโยงกับอิหร่านยังคงทำการโจมตีต่อไป – POLONIUM เริ่มกำหนดเป้าหมายบริษัทของอิสราเอลรวมถึงบริษัทสาขาในต่างประเทศ และ MuddyWater มีแนวโน้มว่าได้แทรกซึมเข้าไปในผู้ให้บริการด้านความปลอดภัยที่ใช้งานอยู่
กลุ่มที่เชื่อมโยงกับเกาหลีเหนือได้ใช้ช่องโหว่ด้านความปลอดภัยแบบเก่าเพื่อแทรกซึมเข้าไปในบริษัทและการแลกเปลี่ยนสกุลเงินดิจิทัลทั่วโลก ที่น่าสนใจ Konni ได้ขยายภาษาที่เขาใช้ในเอกสารกับดักของเขาโดยเพิ่มภาษาอังกฤษในรายการของเขา ซึ่งอาจหมายความว่าไม่ได้มุ่งเน้นไปที่เป้าหมายรัสเซียและเกาหลีใต้ตามปกติ
เป็นคนแรกที่แสดงความคิดเห็น