ESET-i teadlaste raporti kohaselt jätkasid Venemaaga seotud APT rühmad osalemist konkreetselt Ukrainale suunatud operatsioonides, kasutades sel perioodil hävitavaid andmepuhastiid ja lunavara. Hiinaga seotud rühmitus Goblin Panda hakkas kopeerima Mustang Panda huvi Euroopa riikide vastu. Iraaniga seotud rühmitused tegutsevad samuti kõrgel tasemel. Koos Sandwormiga jätkasid ka teised Venemaa APT rühmitused, nagu Callisto, ja Gamaredon oma andmepüügirünnakuid Ida-Euroopa kodanike vastu.
ESET APT tegevusaruande tipphetked on järgmised.
ESET tuvastas, et Ukrainas kasutab kurikuulus Sandworm grupp energiasektori ettevõtte vastu seni tundmatut andmepuhasti tarkvara. APT rühmade operatsioone viivad tavaliselt läbi riigi või riiklikult toetatud osalejad. Rünnak toimus samal ajal, kui Venemaa relvajõud alustasid oktoobris raketirünnakuid energiataristu sihtmärgiks. Kuigi ESET ei suuda tõestada nende rünnakute vahelist koordineerimist, näeb ta Sandwormil ja Vene sõjaväel sama eesmärki.
ESET on nimetanud NikoWiperi varem avastatud andmepuhastite tarkvara seeria uusimaks. Seda tarkvara kasutati 2022. aasta oktoobris Ukrainas energiasektoris tegutseva ettevõtte vastu. NikoWiper põhineb käsurea utiliidil SDelete, mida Microsoft kasutab failide turvaliseks kustutamiseks. Lisaks andmete kustutamisele suunatud pahavarale avastas ESET Sandworm rünnakud, mis kasutavad lunavara puhastitena. Kuigi nendes rünnakutes kasutatakse lunavara, on peamine eesmärk andmete hävitamine. Erinevalt tavalistest lunavararünnakutest ei paku Sandworm-operaatorid dekrüpteerimisvõtit.
2022. aasta oktoobris tuvastas ESET Prestige’i lunavara, mida kasutati Ukraina ja Poola logistikaettevõtete vastu. 2022. aasta novembris avastati Ukrainas uus .NET-is kirjutatud lunavara nimega RansomBoggs. ESET Research tegi selle kampaania avalikuks oma Twitteri kontol. Koos Sandwormiga jätkasid ka teised Venemaa APT rühmad, nagu Callisto ja Gamaredon, oma Ukraina sihitud andmepüügirünnakuid, et varastada volitusi ja implanteerida implantaate.
ESET-i teadlased avastasid ka Jaapani poliitikutele suunatud andmepüügirünnaku MirrorFace ja märkasid faasinihet mõnede Hiinaga seotud rühmade sihtimises – Goblin Panda on hakanud kopeerima Mustang Panda huvi Euroopa riikide vastu. Novembris avastas ESET Euroopa Liidu valitsusasutuses uue Goblin Panda tagaukse, mille nimi on TurboSlate. Mustang Panda jätkas ka Euroopa organisatsioonide sihtimist. Septembris tuvastati Šveitsi energeetika- ja insenerisektori ettevõttes Korplugi laadur, mida kasutas Mustang Panda.
Iraaniga seotud rühmitused jätkasid ka rünnakuid – POLONIUM hakkas sihikule võtma nii Iisraeli ettevõtteid kui ka nende välismaiseid tütarettevõtteid ning MuddyWater imbus tõenäoliselt aktiivsesse turvateenuste pakkujasse.
Põhja-Koreaga seotud rühmitused on kasutanud vanu turvaauke, et tungida krüptovaluutaettevõtetesse ja -börsidele üle kogu maailma. Huvitaval kombel laiendas Konni keeli, mida ta oma lõksudokumentides kasutas, lisades oma nimekirja inglise keele; mis võib tähendada, et ta ei keskendu oma tavalistele Venemaa ja Lõuna-Korea sihtmärkidele.
Ole esimene, kes kommenteerib