Laŭ la raporto preparita de ESET-esploristoj, dum ĉi tiu periodo, APT-grupoj aligitaj kun Rusio daŭre partoprenis en operacioj celantaj Ukrainion precipe, uzante detruajn datumviŝilojn kaj ransomware. Goblin Panda, grupo kun ĉinaj kravatoj, komencis kopii la allogon de Mustang Panda al eŭropaj landoj. Iran-ligitaj grupoj ankaŭ funkcias sur alta nivelo. Kune kun Sandworm, aliaj rusaj APT-grupoj kiel ekzemple Callisto, Gamaredon, ktp. daŭrigis phishing atakojn celantajn orienteŭropajn civitanojn.
La kulminaĵoj de la ESET APT Aktiva Raporto estas jenaj:
ESET trovis, ke la fama Sandworm-grupo en Ukrainio uzis antaŭe nekonatan datumviŝilaron kontraŭ energisektora firmao. La operacioj de APT-grupoj ofte estas aranĝitaj fare de la ŝtato aŭ ŝtatsubvenciitaj partoprenantoj. La atako okazis samtempe, kiam rusaj armetrupoj lanĉis misilatakojn celantajn energiinfrastrukturon en oktobro. Kvankam ESET ne povas pruvi kunordigon inter ĉi tiuj atakoj, ĝi konjektas ke Sandworm kaj la rusa armeo havas la saman celon.
Inter serio de antaŭe malkovritaj datumviŝiloj, ESET nomis la plej novan NikoWiper. Ĉi tiu programaro estis uzata kontraŭ kompanio funkcianta en la energia sektoro en Ukrainio en oktobro 2022. NikoWiper baziĝas sur SDelete, komandlinia ilo de Microsoft por sekure forigi dosierojn. Krom datumoj-forigantaj malware, ESET malkovris Sandworm atakojn kiuj uzas ransomware kiel viŝiloj. Kvankam ransomware estas uzata en ĉi tiuj atakoj, la ĉefa celo estas detrui datumojn. Male al konataj atakoj pri ransomware, Sandworm-funkciigistoj ne disponigas deĉifradan ŝlosilon.
En oktobro 2022, estis detektita de ESET, ke Prestige-ransomware estis uzata kontraŭ loĝistikaj kompanioj en Ukrainio kaj Pollando. En novembro 2022, nova ransomware skribita en .NET nomita RansomBoggs estis malkovrita en Ukrainio. ESET Research anoncis ĉi tiun kampanjon al la publiko en sia Twitter-konto. Kune kun Sandworm, aliaj rusaj APT-grupoj kiel ekzemple Callisto kaj Gamaredon daŭrigis ukrainajn lancfiŝajn atakojn por ŝteli akreditaĵojn kaj planti enplantaĵojn.
ESET-esploristoj ankaŭ detektis MirrorFace spearphishing atakon celanta politikistojn en Japanio kaj rimarkis fazan ŝanĝon en la celo de kelkaj Ĉinio-filiigitaj grupoj - Goblin Panda komencis kopii la intereson de Mustang Panda en eŭropaj landoj. En novembro, ESET malkovris novan Goblin Panda malantaŭpordon, kiun ĝi nomis TurboSlate, en registara organizo en la Eŭropa Unio. Mustang Panda ankaŭ daŭre celis eŭropajn organizojn. En septembro, Korplug-ŝarĝilo uzita fare de Mustang Panda estis ekvidita ĉe establado en la energio kaj inĝenieristiksektoro de Svislando.
Iran-filiigitaj grupoj ankaŭ daŭrigis siajn atakojn - POLONIUM komencis celi israelajn kompaniojn same kiel siajn eksterlandajn filiojn, kaj MuddyWater verŝajne infiltris la sekurecon de aktiva sekureca provizanto.
Nord-Koreio-ligitaj grupoj uzis malnovajn vundeblecojn por infiltri kriptajn monerajn kompaniojn kaj interŝanĝojn tra la mondo. Interese, Konni vastigis la lingvojn, kiujn li uzis en siaj kaptilaj dokumentoj, aldonante la anglan al sia listo; Ĉi tio povas signifi, ke ĝi ne fokusiĝas al siaj kutimaj celoj de Rusio kaj Sud-Koreio.
Estu la unua, kiu komentas