Η ομάδα Sandworm εξαπολύει νέο καταστροφικό κακόβουλο λογισμικό wiper

Το Ερευνητικό Κέντρο της ESET δημοσίευσε την τελευταία Έκθεση Δραστηριότητας APT (APT Activity Report), η οποία παρουσιάζει τις δραστηριότητες επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT) που καταγράφηκαν από τους ερευνητές της ESET από τον Οκτώβριο του 2024 έως το Μάρτιο του 2025.

Βάσει της νέας έκθεσης παρατηρούνται σημαντικές τάσεις στον χώρο των κυβερνοεπιθέσεων τη συγκεκριμένη περίοδο. Συγκεκριμένα, oι φορείς απειλών που συνδέονται με τη Ρωσία – ιδίως οι ομάδες Sednit και Gamaredon – συνέχισαν επιθετικές εκστρατείες, στοχεύοντας κυρίως την Ουκρανία και χώρες της Ευρωπαϊκής Ένωσης. Η Ουκρανία δέχθηκε το μεγαλύτερο πλήγμα από τις κυβερνοεπιθέσεις, οι οποίες επικεντρώθηκαν σε κρίσιμες υποδομές και κυβερνητικούς θεσμούς. Η ομάδα Sandworm, που συνδέεται με τη Ρωσία, ενέτεινε τις καταστροφικές της επιχειρήσεις κατά ουκρανικών εταιρειών ενέργειας, αναπτύσσοντας ένα νέο wiper με την ονομασία ZEROLOT. Παράλληλα, φορείς απειλών που συνδέονται με την Κίνα συνέχισαν τις επίμονες εκστρατείες κυβερνοκατασκοπείας, επικεντρωμένοι σε ευρωπαϊκούς οργανισμούς.

Η ομάδα Gamaredon παρέμεινε ο πιο παραγωγικός φορέας απειλών κατά της Ουκρανίας, ενισχύοντας τις τεχνικές απόκρυψης του κακόβουλου λογισμικού της και παρουσιάζοντας το PteroBox – ένα εργαλείο κλοπής αρχείων (file stealer) που αξιοποιεί το Dropbox.

“Η διαβόητη ομάδα Sandworm επικεντρώθηκε σε μεγάλο βαθμό στην υπονόμευση των ενεργειακών υποδομών της Ουκρανίας.  Σε πρόσφατες περιπτώσεις, ανέπτυξε το wiper ZEROLOT στην Ουκρανία. Για το σκοπό αυτό, οι επιτιθέμενοι έκαναν κατάχρηση της πολιτικής ομάδων Active Directory στους επηρεαζόμενους οργανισμούς”, αναφέρει ο Jean-Ian Boutin, Διευθυντής Έρευνας Απειλών της ESET.

Η ομάδα Sednit βελτίωσε την εκμετάλλευση ευπαθειών τύπου cross-site scripting σε υπηρεσίες webmail, επεκτείνοντας τη δραστηριότητα Operation RoundPress που αρχικά στόχευε το Roundcube, ώστε να συμπεριλάβει επίσης τις πλατφόρμες Horde, MDaemon και Zimbra. Η ESET ανακάλυψε ότι η ομάδα αξιοποίησε με επιτυχία μια ευπάθεια μηδενικής ημέρας στον διακομιστή ηλεκτρονικού ταχυδρομείου MDaemon (CVE-2024-11182) για επιθέσεις εναντίον ουκρανικών εταιρειών. Αρκετές επιθέσεις της Sednit σε αμυντικές εταιρείες στη Βουλγαρία και την Ουκρανία πραγματοποιήθηκαν μέσω εκστρατειών spear-phishing, με τη χρήση παραπλανητικών μηνυμάτων email. Μια άλλη ομάδα που συνδέεται με τη Ρωσία, η RomCom, επέδειξε προηγμένες ικανότητες, αξιοποιώντας exploits μηδενικής ημέρας στον Mozilla Firefox (CVE-2024-9680) και στα Microsoft Windows (CVE-2024-49039).

Στην Ασία, οι ομάδες APT που συνδέονται με την Κίνα συνέχισαν τις εκστρατείες τους εναντίον κυβερνητικών φορέων και ακαδημαϊκών ιδρυμάτων. Παράλληλα, φορείς απειλών προσκείμενοι στη Βόρεια Κορέα αύξησαν σημαντικά τη δραστηριότητά τους με στόχο τη Νότια Κορέα, εστιάζοντας σε ιδιώτες, ιδιωτικές εταιρείες, πρεσβείες και διπλωματικό προσωπικό. Η Mustang Panda παρέμεινε η πιο ενεργή ομάδα, στοχεύοντας κυβερνητικά ιδρύματα και εταιρείες θαλάσσιων μεταφορών μέσω Korplug loaders και κακόβουλων μονάδων USB. Οι DigitalRecyclers συνέχισαν να επιτίθενται σε κυβερνητικούς φορείς της ΕΕ, χρησιμοποιώντας το δίκτυο ανωνυμοποίησης KMA VPN και αναπτύσσοντας τα backdoors RClient, HydroRShell και GiftBox. Η ομάδα PerplexedGoblin χρησιμοποίησε το νέο της κατασκοπευτικό backdoor, το οποίο η ESET ονόμασε NanoSlate, εναντίον μιας κρατικής υπηρεσίας στην Κεντρική Ευρώπη. Τέλος, η ομάδα Webworm  έβαλε στο στόχαστρο έναν κρατικό οργανισμό στη Σερβία, αξιοποιώντας το SoftEther VPN, γεγονός που υπογραμμίζει τη συνεχιζόμενη δημοτικότητα αυτού του εργαλείου μεταξύ ομάδων που συνδέονται με την Κίνα.

Σε άλλες περιοχές της Ασίας, φορείς απειλών που συνδέονται με τη Βόρεια Κορέα ήταν ιδιαίτερα δραστήριοι σε εκστρατείες με οικονομικά κίνητρα. Η ομάδα DeceptiveDevelopment διεύρυνε σημαντικά τους στόχους της, χρησιμοποιώντας ψεύτικες αγγελίες εργασίας, κυρίως στους τομείς των κρυπτονομισμάτων, του blockchain και των χρηματοοικονομικών. Εφαρμόζοντας καινοτόμες τεχνικές κοινωνικής μηχανικής, διένειμε το κακόβουλο λογισμικό WeaselStore, το οποίο λειτουργεί σε πολλαπλές πλατφόρμες. Η κλοπή κρυπτονομισμάτων από την Bybit, η οποία αποδίδεται από το FBI στην ομάδα APT TraderTraitor, περιλάμβανε παραβίαση της αλυσίδας εφοδιασμού του Safe{Wallet}, με εκτιμώμενες απώλειες ύψους περίπου 1,5 δισεκατομμυρίου δολαρίων ΗΠΑ.

Την ίδια περίοδο, άλλες ομάδες που σχετίζονται με τη Βόρεια Κορέα είχαν αλλαγές στον ρυθμό με τον οποίο δρούσαν. Στις αρχές του 2025, οι ομάδες Kimsuky και Konni επέστρεψαν σε κανονικά επίπεδα δραστηριότητας, μετά από αξιοσημείωτη πτώση στο τέλος του 2024. Επιπλέον, άλλαξαν τους στόχους τους: άφησαν πίσω αγγλόφωνες δεξαμενές σκέψης, μη κυβερνητικές οργανώσεις και ειδικούς για τη Βόρεια Κορέα, και πλέον επικεντρώνονται κυρίως σε νοτιοκορεατικές οργανώσεις και διπλωμάτες.

Η ομάδα Andariel έκανε ξανά την εμφάνισή της μετά από ένα χρόνο αδράνειας, με μια πιο σύνθετη επίθεση εναντίον μιας νοτιοκορεατικής εταιρείας που κατασκευάζει βιομηχανικό λογισμικό.

Οι ομάδες APT που συνδέονται με το Ιράν συνέχισαν να στοχεύουν κυρίως στη Μέση Ανατολή, εστιάζοντας σε κρατικούς φορείς και εταιρείες στους τομείς της μεταποίησης και της μηχανικής στο Ισραήλ. Τέλος, η ESET παρατήρησε σημαντική αύξηση των κυβερνοεπιθέσεων σε εταιρείες τεχνολογίας παγκοσμίως, κάτι που οφείλεται σε μεγάλο βαθμό στη δραστηριότητα της ομάδας DeceptiveDevelopment, που συνδέεται με τη Βόρεια Κορέα.

«Οι επιχειρήσεις που επισημάνθηκαν είναι αντιπροσωπευτικές του ευρύτερου τοπίου απειλών που ερευνήσαμε κατά τη διάρκεια αυτής της περιόδου. Αντικατοπτρίζουν τις βασικές τάσεις και εξελίξεις και περιλαμβάνουν μόνο ένα μικρό μέρος των πληροφοριών κυβερνοασφάλειας που παρέχονται στους πελάτες των αναφορών APT της ESET», προσθέτει ο Boutin.

Οι πληροφορίες που περιλαμβάνονται στις ιδιωτικές εκθέσεις βασίζονται κυρίως σε ιδιόκτητα δεδομένα τηλεμετρίας της ESET και έχουν επαληθευτεί από τους ερευνητές της εταιρείας. Οι ερευνητές αυτοί συντάσσουν λεπτομερείς τεχνικές αναλύσεις και τακτικές ενημερώσεις δραστηριότητας, οι οποίες περιγράφουν με ακρίβεια τις ενέργειες συγκεκριμένων ομάδων APT.

Αυτές οι εκθέσεις απειλών, γνωστές ως ESET APT Reports PREMIUM, υποστηρίζουν οργανισμούς που έχουν αναλάβει την προστασία πολιτών, κρίσιμων εθνικών υποδομών και περιουσιακών στοιχείων υψηλής αξίας απέναντι σε εγκληματικές ή κρατικά υποκινούμενες κυβερνοεπιθέσεις. Περισσότερες πληροφορίες σχετικά με τις αναφορές ESET APT Reports PREMIUM και την παροχή υψηλής ποιότητας, αξιοποιήσιμων τακτικών και στρατηγικών πληροφοριών για απειλές στον κυβερνοχώρο είναι διαθέσιμες στη σελίδα ESET Threat Intelligence.

Ακολουθήστε την ESET Research στο Twitter (σήμερα γνωστό ως X), το BlueSky και το Mastodon για τις τελευταίες εξελίξεις.