Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby

Společnost ESET zveřejnila APT Activity Report - svou nejnovější zprávu o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby. Během sledovaného období od října 2024 do března 2025 útočníci napojení na Rusko, zejména skupiny Sednit a Gamaredon, vedli agresivní kampaně zaměřené primárně na Ukrajinu a země EU.

Skupina Sandworm, která je rovněž spojována s Ruskem, zesílila své ničivé operace proti ukrajinským energetickým společnostem a nasadila nový škodlivý kód typu wiper s názvem ZEROLOT. Útočníci napojení na Čínu pokračovali ve svých špionážních aktivitách. Ve sledovaném období se nadále zaměřovali na evropské organizace. Skupiny spojované s režimem v Severní Koreji rozšířily své kampaně, ve kterých využívají techniky sociálního inženýrství a falešné pracovní nabídky.

Kybernetické útoky Ruskem podporovaných skupin útočníků byly nejvíce intenzivní na Ukrajině. Nejaktivnější skupinou zaměřenou na Ukrajinu zůstala Gamaredon. Útočníci z tohoto uskupení vylepšili techniky maskování malwaru, tzv. obfuskaci (úpravy zdrojového kódu s cílem znemožnit jeho analýzu), a představili nástroj PteroBox určený ke krádeži souborů zasílaných přes službu Dropbox.

"APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje. Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO. Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu. Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny - Group Policy - ve službě Active Directory u postižených organizací," říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.

Skupina Sednit, známá také pod jmény FancyBear nebo APT28, zdokonalila zneužívání zranitelností ve webmailových službách. Ve sledovaném období tito útočníci rozšířili svou operaci RoundPress z platformy Roundcube i na služby Horde, MDaemon a Zimbra.

Bezpečnostní experti z ESETu zjistili, že skupina úspěšně zneužila zero-day zranitelnost v e-mailovém serveru MDaemon (CVE-2024-11182) proti ukrajinským firmám.

V několika případech skupina Sednit využila také cílené spearphishingové e-mailové kampaně. Ty jí posloužily jako návnada v útocích na obranné firmy v Bulharsku a na Ukrajině.

Další skupina napojená na Rusko, RomCom, prokázala své pokročilé schopnosti tím, že zneužila zranitelnosti ve webovém prohlížeči Mozilla Firefox (CVE-2024-9680) a v operačním systému Microsoft Windows (CVE-2024-49039).

Kybernetické hrozby ze Severní Koreje a Íránu

Útočníci napojení na režim v Severní Koreji byli obzvláště aktivní v kampaních, které slibovaly finanční zisk. Skupina útočníků DeceptiveDevelopment výrazně rozšířila oblasti, na které se zaměřuje, když k nalákání obětí využila falešné pracovní nabídky. Cílem byla krádež přístupových údajů do kryptoměnových peněženek a přihlašovacích údajů z webových prohlížečů a správců hesel. Skupina využívala inovativní techniky sociálního inženýrství k šíření škodlivého kódu WeaselStore určeného pro různé platformy a operační systémy.

Další významnou událostí mezi severokorejskými APT skupinami pak byla krádež kryptoměn na burze Bybit. FBI tento útok připsala skupině TraderTraitor. Součástí tohoto útoku byla kompromitace dodavatelského řetězce - konkrétně poskytovatele kryptoměnové peněženky Safe{Wallet}. Útok měl za následek ztrátu v přibližné hodnotě 1,5 miliardy dolarů (USD).

Ostatní skupiny napojené na Severní Koreu mezitím vykazovaly kolísání v intenzitě svých operací. Po citelném loňském poklesu se skupiny Kimsuky a Konni vrátily na začátku roku 2025 na obvyklou úroveň svých aktivit. Změnily však své zacílení. Místo na anglicky mluvící think-tanky, nevládní organizace a experty na KLDR se nyní zaměřují především na jihokorejské subjekty a diplomatický personál.

Skupina Andariel se po roce nečinnosti znovu objevila na scéně spolu se sofistikovaným útokem na jihokorejskou firmu vyvíjející průmyslový software.

Zájem skupin napojených na Írán se nadále soustředil na oblast Blízkého východu. Jejich cíli byly převážně izraelské vládní instituce a organizace z oblasti výroby a inženýrství.

Kybernetické hrozby z Číny

Útočníci napojení na Čínu pokračovali ve svých kampaních proti vládním a akademickým institucím. Útočníci s podporou Severní Koreje pak výrazně zintenzivnili své operace zaměřené na Jižní Koreu, přičemž se zvlášť soustředili na jednotlivce, soukromé firmy, ambasády a diplomatické pracovníky.

Čínská APT skupina Mustang Panda zůstala v rámci asijského regionu nejaktivnější. Jejími cíli byly vládní instituce a společnosti působící v oblasti námořní dopravy. V rámci těchto útoků skupina využívala trojského koně Korplug a škodlivá USB zařízení.

Útočníci ze skupiny DigitalRecyclers pokračovali v útocích na vládní instituce zemí EU. Využívali při nich virtuální privátní síť KMA VPN a škodlivé kódy, tzv. zadní vrátka (backdoory) RClient, HydroRShell a GiftBox.

Skupina PerplexedGoblin použila ve sledovaném období svůj nový špionážní backdoor proti vládní instituci ve střední Evropě. Společnost ESET tento škodlivý kód pojmenovala NanoSlate. Útočníci ze skupiny Webworm cílili na srbskou vládní organizaci prostřednictvím VPN sítě SoftEther.

Uvedené případy dokazují, jak je mezi útočnými skupinami napojenými na Čínu v oblibě využívání VPN služeb. Obecně útoky na síťovou infrastrukturu, DNS nebo VPN služby a routery jsou jejich doménou. Často využívají techniku, které říkáme man-in-the-middle, díky které dokážou ovládnout nějaký klíčový síťový prvek.

Mají také výhodu v tom, že mohou ovlivňovat klíčové síťové uzly v Číně, které jsou pod kontrolou tamějšího režimu, nikoli mezinárodních institucí. Útoky čínských skupin lze pozorovat po celém světě.

Společnost ESET kromě výše uvedených případů zaznamenala výrazný, celosvětový nárůst kybernetických útoků na technologické firmy, který je z velké části připisován zvýšené aktivitě výše zmíněné APT skupiny DeceptiveDevelopment.