Російські кіберзлочинці активізують свої атаки на Україні та в країнах Європейського Союзу.
ESET провела аналіз діяльності APT-груп кіберзлочинців за період з жовтня 2024 по березень 2025 року. У цей час групи, асоційовані з росією, зокрема Sednit та Gamaredon, активно здійснювали атаки на Україну та країни Європейського Союзу.
Україна зазнала найбільшої інтенсивності кібератак, спрямованих на критично важливу інфраструктуру та державні установи. Група Sandworm, пов'язана з росією, посилила руйнівні атаки на українські енергетичні компанії, розгорнувши нову шкідливу програму ZEROLOT для знищення даних.
Варто відзначити, що APT-групи являють собою колективи висококласних хакерів, чия діяльність часто фінансується певними державами. Їх основна мета полягає в зборі конфіденційної інформації від державних установ, впливових осіб або важливих корпорацій, при цьому намагаючись уникнути виявлення. Такі кіберзлочинні угруповання мають значний досвід і застосовують складні шкідливі програми, а також раніше невідомі вразливості.
При цьому найбільш активною групою, спрямованою на Україну, залишалася Gamaredon. Зловмисники вдосконалили обфускацію коду шкідливих програм та використовували PteroBox, програму для викрадення файлів із застосуванням Dropbox.
"Відома група Sandworm була зосереджена переважно на компрометації української енергетичної інфраструктури. У нещодавніх випадках кіберзлочинці в Україні використали програму ZEROLOT для знищення даних. Для цього зловмисники несанкціоновано застосовували групову політику Active Directory в організаціях", - коментує Жан-Ян Бутен, директор ESET із дослідження загроз.
Інша російська хакерська група Sednit покращила свої методи використання вразливостей у веб-поштових системах, таких як RoundPress, Horde, Mdaemon та Zimbra. Дослідники компанії ESET виявили, що ця група успішно експлуатувала "нульові" вразливості в поштовому сервері MDaemon (CVE-2024-11182) для атак на українські компанії. У низці атак Sednit на оборонні підприємства в Болгарії та Україні використовувалися фішингові електронні листи як засіб обману.
Ще одна група RomCom, що має зв'язки з Росією, показала нові можливості використання "нульових" вразливостей у Mozilla Firefox (CVE 2024 9680) та Microsoft Windows (CVE 2024 49039). Ця група, яка активно діє з 2022 року, зосередила свої атаки на українських державних установах, оборонній сфері, а також на членах НАТО та європейських урядових організаціях.
В Азіатському регіоні APT-групи, що мають зв'язки з Китаєм, продовжували націлювати свої атаки на урядові та навчальні заклади. Одночасно групи, пов'язані з Північною Кореєю, значно активізували свою діяльність, фокусуючи увагу на Південній Кореї, зокрема на окремих осіб, приватних підприємствах, посольствах та дипломатичних представництвах.
При цьому китайська група Mustang Panda залишалася найактивнішою групою, яка націлювалася на урядові установи та компанії з морських перевезень за допомогою завантажувача Korplug та шкідливих USB-накопичувачів. Інша група, пов'язана з Китаєм, DigitalRecyclers продовжила атакувати урядові установи ЄС, розгортаючи бекдори RClient, HydroRShell та GiftBox. Тоді як група PerplexedGoblin використала новий шпигунський бекдор NanoSlate, націлюючись на урядову установу у Центральній Європі.
У різних країнах Азії групи, що мають зв'язки з Північною Кореєю, активно здійснювали фінансові кампанії. Одна з таких груп, що діє під назвою DeceptiveDevelopment, суттєво розширила свої цілі, використовуючи фальшиві оголошення про вакансії, переважно в сферах криптовалют, блокчейн-технологій та фінансів. Вони застосовували новітні методи соціальної інженерії для розповсюдження мультиплатформенного шкідливого програмного забезпечення під назвою WeaselStore. Крадіжка криптовалюти Bybit, яка була приписана APT-групі TraderTraitor, стала наслідком компрометації ланцюга постачання Safe{Wallet}, в результаті чого було втрачено близько 1,5 мільярда доларів США.
Групи APT, асоційовані з Іраном, зосередили свої зусилля на Близькому Сході, націлюючись передусім на державні установи, а також на підприємства у галузі виробництва та інженерії в Ізраїлі. Окрім того, експерти компанії ESET відзначили суттєве зростання глобальних кібератак на технологічні фірми, що в значній мірі пов'язано з активізацією групи DeceptiveDevelopment, яка має зв'язки з Північною Кореєю.
"Виділені заходи ілюструють загальну картину загроз, які були проаналізовані впродовж цього часу. Вони підкреслюють основні тренди та події, а також частину інформації з галузі кібербезпеки, що доступна користувачам ESET Threat Intelligence," - зазначив Жан-Ян Бутен, директор з дослідження загроз у компанії ESET.
Для протидії атакам APT-груп компаніям важливо забезпечити максимальний захист завдяки комплексному підходу до безпеки, зокрема подбати про потужний захист пристроїв за допомогою розширеного виявлення та реагування на загрози, розширеного аналіза у хмарі та шифрування даних, а також розуміти можливі вектори атак та особливості діяльності певних груп, які доступні саме у звітах про APT-загрози.
Дослідники ESET готують детальну технічну інформацію, постійно оновлюючи дані про діяльність певних APT-груп у формі розширених звітів, щоб допомогти відповідним організаціям захищати користувачів, критичну інфраструктуру та інші важливі активи від цілеспрямованих кібератак. Додаткові дані про розширені звіти APT, що надаються в рамках сервісу ESET Threat Intelligence, доступні за посиланням.
