ESET’e göre, Rus APT grupları Ukrayna ve AB’ye yönelik saldırıları yoğunlaştırdı, sıfır gün güvenlik açıklarından yararlandı ve silecekleri konuşlandırdı.
Ukrayna artan siber tehditlerle karşı karşıya
Rusya’ya uyumlu kum kurdu grubu, Ukrayna enerji şirketlerine karşı yıkıcı operasyonları yoğunlaştırdı ve Zerolot adında yeni bir silecek kullandı.
Gamaredon, Ukrayna’yı hedefleyen en üretken aktör olarak kaldı, kötü amaçlı yazılım gizlemesini artırdı ve dropbox’tan yararlanan bir dosya çalma olan Pterobox’u tanıttı.
“Kötü şöhretli kum kurdu grubu, Ukrayna enerji altyapısından ödün vermeye yoğunlaştı. Son durumlarda, Ukrayna’daki Zerolot Silecek’i konuşlandırdı. Bunun için saldırganlar, etkilenen kuruluşlarda Active Directory Grubu politikasını istismar etti” diyor.
Sednit, Webmail hizmetlerindeki siteler arası komut dosyası güvenlik açıklarından yararlanmasını ve Roundpress Operasyonunu Horde, MDAemon ve Zimbra’yı içerecek şekilde genişleterek rafine etti. ESET, grubun Ukraynalı şirketlere karşı MDAemon e-posta sunucusunda (CVE-2024-11182) sıfır günlük bir güvenlik açığından başarılı bir şekilde yararlandığını keşfetti.
Bulgaristan ve Ukrayna’da bulunan savunma şirketlerine yönelik birkaç Sednit saldırısı, Spearphishing e -posta kampanyalarını yem olarak kullandı. Başka bir Rusya’ya uyumlu grup olan Romcom, Mozilla Firefox’a (CVE-2024-9680) ve Microsoft Windows’a (CVE-2024-49039) karşı sıfır günlük istismarlar uygulayarak gelişmiş yetenekler gösterdi.
Çin ve Kuzey Kore saldırı kampanyalarını genişletiyor
Asya’da, Çin uyumlu APT grupları devlet ve akademik kurumlara karşı kampanyalarına devam etti. Mustang Panda, Korplug yükleyicileri ve kötü niyetli USB sürücüleri aracılığıyla en aktif, hükümet kurumlarını ve deniz taşımacılığı şirketlerini hedefleyen olarak kaldı.
DigitalRecyclers, AB hükümet kuruluşlarını hedeflemeye, KMA VPN anonimleştirme ağını kullanmaya ve RClient, Hydrorshell ve Hediye Kutusu Backoors’u dağıtmaya devam etti. PerplexedGoblin, ESET’in Nanoslate adlı yeni casusluk arka kapısını Orta Avrupa hükümet kuruluşuna karşı kullanırken, Webworm yumuşak bir VPN kullanarak bir Sırp hükümet organizasyonunu hedef aldı ve bu aracın Çin uyumlu gruplar arasında sürekli popülaritesini vurguladı.
Asya’nın başka yerlerinde, Kuzey Kore uyumlu tehdit aktörleri özellikle finansal olarak motive olmuş kampanyalarda aktifti. Alınan geliştirme, esas olarak kripto para birimi, blockchain ve finans sektörlerinde sahte iş listelerini kullanarak hedeflemesini önemli ölçüde genişletti. Grup, çok platformlu Weaselstore kötü amaçlı yazılımlarını dağıtmak için yenilikçi sosyal mühendislik teknikleri kullandı.
FBI tarafından TraderTraitor APT Grubu’na atfedilen Bybit kripto para hırsızlığı, yaklaşık 1.5 milyar ABD Doları kaybına neden olan güvenli {cüzdan} ‘ın bir tedarik zinciri uzlaşmasını içeriyordu.
Bu arada, Kuzey Kore’ye hizalanmış diğer gruplar operasyonel tempolarında dalgalanmalar gördü: 2025’in başlarında, Kimuky ve Koni, 2024’ün sonunda belirgin bir düşüşten sonra olağan faaliyet seviyelerine geri döndüler ve hedeflemelerini İngilizce konuşan düşünce tanklarından, ngolardan ve Kuzey Kore uzmanlarından uzaklaştırdılar; Ve Andariel, bir yıl süren hareketsizlikten sonra, Güney Koreli bir endüstriyel yazılım şirketine karşı sofistike bir saldırı ile yeniden ortaya çıktı.