کسپرسکی یه گزارشی رو منتشر کرده که به بررسی APTهای فعال در سه ماهه اول سال 2022 پرداخته. گروهها رو براساس زبان و منطقه طبقه بندی کرده و این مکان یابی رو بر اساس تارگتها و تحلیل و آنالیزی که از ابزارهای اونا کرده بدست آورده.
گروههای APT روسی :
- تو بخش APTهای روسی زبان به DustSquad و ابزارهای ویندوزی و اندرویدی اونا از جمله Octopus ، Zaka،Akinak ،Harpoon اشاره شده. برای ابزارهای ویندوزی اغلب از دلفی استفاده میکنن. اغلب تارگتهای اونا آسیای مرکزی و خاورمیانه هستش.
گروههای APT چینی :
- در بخش APTهای چینی زبان به ToddyCat اشاره شده که از طریق تلگرام بدافزارهای خودشون منتشر میکردن.
- علاوه بر این گروه به APT27 که به LuckyMouse هم معروف هستند اشاره شده. این گروه چندین کمپانی آلمانی و تایوانی و کامبوجی رو هدف قرار دادند. روش حمله اشونم این شکلی بوده که با استفاده از برنامه های قانونی مثله mempeng.exe یا vfhost.exe و استفده از تکنیک side-load یک DLL مخرب بنام vftrace.dll رو لوود میکرد که درنهایت بدافزار HyperBro اجرا میکرد.
گروههای خاورمیانه :
- در بخش خاورمیانه به گروه APT35 که به Charming Kitten و Phosphorus معروف هستند اشاره شده که با یک ماژول مخربی بنام XTest که سرورهای Microsoft IIS رو هدف قرار میدادن.
گروههای آسیای جنوب شرقی و شبه جزیره کره:
- در این دسته به بازیگران تهدید Sidecopy اشاره شده که کارمندان هند رو هدف قرار دادن. این گروه از بدافزاری بنام MargulasRAT و Netwire و Warzone استفاده میکنن. همچنین پلتفرمهای مک و لینوکس رو هم هدف قرار دادن و یک RAT ناشناخته به زبان گولنگ مختص به خودشون برای لینوکس دارن.
- همچنین به Konni اشاره شده که نهادهای دیپلماتیک روسیه رو هدف قرار دادند. این گروه با ارسال ایمیل حاوی داکیومنتهای ماکرودار که بعد از اجرا یک برنامه ثبت نام Covid19 اجرا میکرد که یک دانلودر بود که بدافزار Konni RAT رو دانلود و اجرا میکرد.
- همچنین گروه APT10 نیز فعالیت هایی رو داشتن. این گروه اغلب دیپلماتهای ژاپن رو هدف قرار دادن و ابزارهای مختلفی از جمله نسخه های مختلف بکدور LODEINFO (آخرین نسخه v0.5.8)، نسخه بروز شده Lilim RAT v1.4.1 استفاده میکردن.
- همچنین گروه Lazarus هم در این گزارش اومده که با انتشار یک نسخه آلوده شده از کیف پول DeFi اهدافی رو انجام دادن. این گروه برای کنترل این بکدور از سرورهای هک شده واقع در کره جنوبی استفاده میکرد. کسپرسکی با همکاری یه CERT تونسته یکی از C2های این گروه رو بدست بیاره و بررسی کنه. از روی IPقربانیها هدف منحصر به منطقه خاصی نیست و اهداف مختلف از سطح دنیا رو هدف قرار دادن.
- همچنین به گروه Sidewinder اشاره شده که با ارسال فایلهای OOXML در حملات فیشینگ قربانیان رو آلوده میکنن.این فایلها حاوی دانلودر داکیومنتهای RTF هستش که با استفاده از آسیب پذیری CVE-2017-11882 در این فایلها سیستم رو آلوده میکنه. بعد از اکسپلویت یک فایل مخرب JS رو روی سیستم قربانی اجرا میکنه. از جمله اهداف جدید این گروه سنگاپور بوده.
- همچنین گروه APT-C-601 یا APT-Q-122 که با گروه DarkHotel هم مرتبط دونستن در این گزارش اومده. روش حمله اشونم اینجوری بوده که یک ایمیل با لینک به یک بدافزار بنام Phontena تو DROPBOX داشتن. این بدافزار یه شورتکات ویندوزی بوده که با اجراش یک بدافزاری رو دانلود و اجرا میکرده.
- گروه FishingElephant اهدافی رو در پاکستان و بنگلادش داشته و بدون بروزرسانی از همون کیلاگر خودشون روی اهداف استفاده کردن.
موارد جذاب دیگر:
- از جمله موارد جذاب آلوده کردن فریمور UEFI توسط گروه APT41 بوده.
- با بررسی نفوذهای Deathstalker یک بدافزار جدید بنام Janicab رو کشف کردن. این بدافزار روی مک و ویندوز قابل اجراست و نسخه ویندوزی اون اسکریپت VBS هستش. اهداف این گروه سازمانهای خاورمیانه ای هستش که تو حملات اخیرشون آژانسهای مسافرتی زیاد بوده.
- همچنین گروه Tomiris که اهدافی رو در قرقیزستان، افغانستان و روسیه انجام دادن . با توجه به ابزارهای استفاده شده شباهت هایی بین این گروه و UNC1514 کشف کردن.
نکات نهایی:
- برخی APTها TTPهای خودشون رو تغییر ندادن و فقط روی مهندسی اجتماعی بیشتر کار کردن و در حالیکه برخی از این گروهها مهارتها و TTPهای خودشون رو بروز و بهبود دادند تا اهداف بیشتر و گسترده تری رو داشته باشن.
- ژئوپلیتیک همیشه محرک اصلی تحولات APT بوده مانند جنگ روسیه و اکراین
- همانطور که در سال 2021 پیش بینی شده بود توسعه بدافزارهای سطح پایین در سال 2022 افزایش خواهد یافت برای نمونه Moonbounce
- این نتایج براساس بررسی مواردی گزارش شده و بدست آمده از طریق اسکنرها و مونیتورهای کسپرسکی هستش و ممکنه حملات پیچیده ای باشن که از دید و اسکن اونا عبور کرده باشن.