ПРОГРИД СИСТЕМС ХХК, Progrid Systems LLC,
ESET APT Report Q2-Q3 2025ESET APT Report Q2-Q3 2025
ESET APT Activity Report Q2 2025–Q3 2025 нь 2025 оны дөрөвдүгээр сараас есдүгээр сарын хооронд ESET-ийн судлаачдын баримтжуулсан APT бүлгүүдийн онцлох үйл ажиллагааг нэгтгэн дүгнэсэн тайлан юм. Энд дурдсан ажиллагаанууд нь тухайн хугацаанд бидний судалсан өргөн хүрээний аюулын ерөнхий төлөв байдлын төлөөлөл бөгөөд гол сегмент, чиг хандлагуудыг харуулсан болно. Эдгээр нь ESET-ийн APT тайлангийн хэрэглэгчдэд хүргэдэг кибер тагнуулын мэдээллийн ердөө багахан хэсгийг багтаасан болно.
Тайлант хугацаанд Хятадтай холбоотой APT бүлгүүд Бээжингийн геополитикийн зорилгыг урагшлуулах үйл ажиллагаанд идэвхтэй оролцсон байна. PlushDaemon, SinisterEye, Evasive Panda, TheWizards зэрэг бүлгүүд дотоод сүлжээнд нэвтрэхдээ adversary-in-the-middle (ATIM) техникийг улам ихээр ашиглах болсон. Трампын засаг захиргааны Латин Америк дахь стратегийн сонирхолд хариу илэрхийлсэн байж болзошгүй бөгөөд АНУ–Хятадын өрсөлдөөнтэй холбоотойгоор FamousSparrow Латин Америкаар “аялан” явж, бүс нутгийн хэд хэдэн төрийн байгууллагыг онилон довтолсон байна. Mustang Panda Зүүн Өмнөд Ази, АНУ, Европт өндөр идэвхтэй хэвээр байсан бөгөөд голчлон төрийн байгууллага, инженерчлэл, далайн тээврийн салбарыг онилсон. Flax Typhoon Тайванийн эрүүл мэндийн салбарыг чиглэн, нийтийн серверүүдийн эмзэг байдлыг ашиглан webshell байршуулж халдлага хийсэн. Тус бүлэг SoftEther VPN-ийн дэд бүтцээ тогтмол шинэчилдэг бөгөөд сүүлийн үед BUUT нэртэй нээлттэй эхийн прокси ашиглаж эхэлжээ. Үүний зэрэгцээ Speccom Төв Азийн эрчим хүчний салбарт халдлага үйлдэн, Хятад санхүүжүүлсэн төслүүдийн талаарх мэдээлэлд илүү нэвтрэх, Хятадын далайн импортод хамаарах хамаарлыг бууруулах зорилготой бололтой. Тус бүлгийн хэрэгсэлд багтсан BLOODALCHEMY хэмээх Backdoor-ыг хэд хэдэн Хятадтай холбоотой APT бүлгүүд ихээхэн ашиглах болжээ.
Ирантай холбоотой MuddyWater spearphishing довтолгоогоо улам нэмэгдүүлсэн. Тэд зорилтот байгууллагын дотоодын эзэмшигчийн хаягийг булаан авч, байгууллагын доторх ажилтнуудад дотроос нь spearphishing имэйл илгээдэг шинэ аргыг нэвтрүүлсэн бөгөөд энэ нь маш амжилттай байжээ. Ирантай холбоотой бусад бүлгүүд ч идэвхтэй хэвээр бөгөөд BladedFeline шинэ дэд бүтэц ашиглаж эхэлсэн бол GalaxyGato сайжруулсан C5 backdoor ашиглан довтолсон. GalaxyGato мөн DLL search-order hijacking-ийг ашиглан нууц үг хулгайлах өвөрмөц аргыг танилцуулсан байна.
Хойд Солонгостой холбоотой APT бүлэглэлүүд криптовалютын салбарыг тасралтгүй онилж, анх удаа Узбекистан хүртэл үйл ажиллагаагаа тэлжээ. Сүүлийн саруудад DeceptiveDevelopment, Lazarus, Kimsuky, Konni зэрэг бүлгүүд тагнуулын зорилготой, Пёньяны геополитикийн зорилгыг дэмжих, мөн санхүүжилт босгох чиглэлтэй хэд хэдэн шинэ ажиллагаа явуулсан. Kimsuky дипломат байгууллага, Өмнөд Солонгосын судалгааны хүрээлэн, академийг онилон ClickFix техникийг туршсан бол Konni macOS-д чиглэсэн урьд өмнө харагдаагүй төрлийн social engineering техникийг ашигласан.
Оростой холбоотой бүлгүүд Украин болон Украинтай стратегийн холбоотой улс орнуудыг чиглэн довтолсоор байсан бөгөөд Европ дахь байгууллагуудад чиглэсэн халдлагаа нэмэгдүүлжээ. Spearphishing тэдний үндсэн халдлагын арга хэвээр байна. Ялангуяа RomCom нь WinRAR-ийн zero-day эмзэг байдлыг ашиглан хортой DLL суулгаж, төрөл бүрийн арын хаалгыг түгээсэн. Бид энэхүү эмзэг байдлыг WinRAR-т мэдээлж, тэд шуурхай зассан. Тус бүлгийн үйл ажиллагаа голчлон ЕХ болон Канадын санхүү, үйлдвэрлэл, батлан хамгаалах, логистикийн салбар руу чиглэсэн. Gamaredon Украинд хамгийн идэвхтэй APT хэвээр байж, үйл ажиллагааны давтамж, хүч эрс нэмэгдсэн. Энэ өсөлт нь Оростой холбоотой бүлгүүдийн ховор тохиолддог хамтын ажиллагаатай давхацсан бөгөөд Gamaredon нь Turla-ийн backdoor сонгон ашигласан байна. Мөн Gamaredon-ийн хэрэгсэл шинэ file stealer болон tunneling үйлчилгээ зэргээр илүү боловсронгуй болжээ.
Sandworm мөн Украин руу төвлөрсөн боловч тагнуулын бус, устгах зорилгоор ажиллагаа явуулсан. ZEROLOT, Sting гэх мэт data wiper-уудыг төрийн байгууллага, эрчим хүч, логистикийн компани, тэр дундаа газар тариалангийн салбар руу ашигласан нь Украины эдийн засгийг сулруулах зорилготой бололтой. Мөн InedibleOchotense хэмээх Оростой холбоотой өөр нэг бүлэг ESET-ийг дуурайн spearphishing хийсэн бөгөөд имэйл болон Signal мессежээр trojan вирустай ESET installer тарааж, жинхэнэ ESET бүтээгдэхүүн суулгахын зэрэгцээ Kalambur Backdoor нэмж татсан.
Сүүлд нь, тэр бүр танигдаагүй бүлгүүдийн онцлох үйл ажиллагаа ажиглагдсан. FrostyNeighbor Roundcube-ийн XSS эмзэг байдлыг ашигласан. Польш, Литвын компаниуд, бизнесүүдийг дуурайсан spearphishing имэйлээр онилсон бөгөөд имэйлүүд нь bullet point ба emoji-ийн өвөрмөц хослолтой, хиймэл оюуны бүтээмжийг санагдуулам бүтэцтэй байв. Халдлагад credential stealer болон имэйл хулгайлах хэрэгсэл багтжээ. Мөн бид Иракт өмнө нь танигдаагүй Android spyware илрүүлж, Wibag гэж нэрлэсэн. YouTube апп болж дүр эсгэсэн Wibag нь Telegram, WhatsApp, Instagram, Facebook, Snapchat зэрэг мессежний платформуудыг онилж, keylogging, SMS, дуудлагын түүх, байршил, контакт, дэлгэцийн бичлэг, WhatsApp болон утасны дуудлагын бичлэг г.м. мэдээллийг хулгайлдаг. Сонирхолтой нь, уг spyware-ийн админ панелийн нэвтрэх хуудсанд Иракийн Үндэсний Аюулгүй Байдлын Албаны лого байдаг.
ESET APT Report Q2-Q3 2025
ESET APT Activity Report Q2 2025–Q3 2025 нь 2025 оны дөрөвдүгээр сараас есдүгээр сарын хооронд ESET-ийн судлаачдын баримтжуулсан APT бүлгүүдийн онцлох үйл ажиллагааг нэгтгэн дүгнэсэн тайлан юм. Энд дурдсан ажиллагаанууд нь тухайн хугацаанд бидний судалсан өргөн хүрээний аюулын ерөнхий төлөв байдлын төлөөлөл бөгөөд гол сегмент, чиг хандлагуудыг харуулсан болно. Эдгээр нь ESET-ийн APT тайлангийн хэрэглэгчдэд хүргэдэг кибер тагнуулын мэдээллийн ердөө багахан хэсгийг багтаасан болно.
Тайлант хугацаанд Хятадтай холбоотой APT бүлгүүд Бээжингийн геополитикийн зорилгыг урагшлуулах үйл ажиллагаанд идэвхтэй оролцсон байна. PlushDaemon, SinisterEye, Evasive Panda, TheWizards зэрэг бүлгүүд дотоод сүлжээнд нэвтрэхдээ adversary-in-the-middle (ATIM) техникийг улам ихээр ашиглах болсон. Трампын засаг захиргааны Латин Америк дахь стратегийн сонирхолд хариу илэрхийлсэн байж болзошгүй бөгөөд АНУ–Хятадын өрсөлдөөнтэй холбоотойгоор FamousSparrow Латин Америкаар “аялан” явж, бүс нутгийн хэд хэдэн төрийн байгууллагыг онилон довтолсон байна. Mustang Panda Зүүн Өмнөд Ази, АНУ, Европт өндөр идэвхтэй хэвээр байсан бөгөөд голчлон төрийн байгууллага, инженерчлэл, далайн тээврийн салбарыг онилсон. Flax Typhoon Тайванийн эрүүл мэндийн салбарыг чиглэн, нийтийн серверүүдийн эмзэг байдлыг ашиглан webshell байршуулж халдлага хийсэн. Тус бүлэг SoftEther VPN-ийн дэд бүтцээ тогтмол шинэчилдэг бөгөөд сүүлийн үед BUUT нэртэй нээлттэй эхийн прокси ашиглаж эхэлжээ. Үүний зэрэгцээ Speccom Төв Азийн эрчим хүчний салбарт халдлага үйлдэн, Хятад санхүүжүүлсэн төслүүдийн талаарх мэдээлэлд илүү нэвтрэх, Хятадын далайн импортод хамаарах хамаарлыг бууруулах зорилготой бололтой. Тус бүлгийн хэрэгсэлд багтсан BLOODALCHEMY хэмээх Backdoor-ыг хэд хэдэн Хятадтай холбоотой APT бүлгүүд ихээхэн ашиглах болжээ.
Ирантай холбоотой MuddyWater spearphishing довтолгоогоо улам нэмэгдүүлсэн. Тэд зорилтот байгууллагын дотоодын эзэмшигчийн хаягийг булаан авч, байгууллагын доторх ажилтнуудад дотроос нь spearphishing имэйл илгээдэг шинэ аргыг нэвтрүүлсэн бөгөөд энэ нь маш амжилттай байжээ. Ирантай холбоотой бусад бүлгүүд ч идэвхтэй хэвээр бөгөөд BladedFeline шинэ дэд бүтэц ашиглаж эхэлсэн бол GalaxyGato сайжруулсан C5 backdoor ашиглан довтолсон. GalaxyGato мөн DLL search-order hijacking-ийг ашиглан нууц үг хулгайлах өвөрмөц аргыг танилцуулсан байна.
Хойд Солонгостой холбоотой APT бүлэглэлүүд криптовалютын салбарыг тасралтгүй онилж, анх удаа Узбекистан хүртэл үйл ажиллагаагаа тэлжээ. Сүүлийн саруудад DeceptiveDevelopment, Lazarus, Kimsuky, Konni зэрэг бүлгүүд тагнуулын зорилготой, Пёньяны геополитикийн зорилгыг дэмжих, мөн санхүүжилт босгох чиглэлтэй хэд хэдэн шинэ ажиллагаа явуулсан. Kimsuky дипломат байгууллага, Өмнөд Солонгосын судалгааны хүрээлэн, академийг онилон ClickFix техникийг туршсан бол Konni macOS-д чиглэсэн урьд өмнө харагдаагүй төрлийн social engineering техникийг ашигласан.
Оростой холбоотой бүлгүүд Украин болон Украинтай стратегийн холбоотой улс орнуудыг чиглэн довтолсоор байсан бөгөөд Европ дахь байгууллагуудад чиглэсэн халдлагаа нэмэгдүүлжээ. Spearphishing тэдний үндсэн халдлагын арга хэвээр байна. Ялангуяа RomCom нь WinRAR-ийн zero-day эмзэг байдлыг ашиглан хортой DLL суулгаж, төрөл бүрийн арын хаалгыг түгээсэн. Бид энэхүү эмзэг байдлыг WinRAR-т мэдээлж, тэд шуурхай зассан. Тус бүлгийн үйл ажиллагаа голчлон ЕХ болон Канадын санхүү, үйлдвэрлэл, батлан хамгаалах, логистикийн салбар руу чиглэсэн. Gamaredon Украинд хамгийн идэвхтэй APT хэвээр байж, үйл ажиллагааны давтамж, хүч эрс нэмэгдсэн. Энэ өсөлт нь Оростой холбоотой бүлгүүдийн ховор тохиолддог хамтын ажиллагаатай давхацсан бөгөөд Gamaredon нь Turla-ийн backdoor сонгон ашигласан байна. Мөн Gamaredon-ийн хэрэгсэл шинэ file stealer болон tunneling үйлчилгээ зэргээр илүү боловсронгуй болжээ.
Sandworm мөн Украин руу төвлөрсөн боловч тагнуулын бус, устгах зорилгоор ажиллагаа явуулсан. ZEROLOT, Sting гэх мэт data wiper-уудыг төрийн байгууллага, эрчим хүч, логистикийн компани, тэр дундаа газар тариалангийн салбар руу ашигласан нь Украины эдийн засгийг сулруулах зорилготой бололтой. Мөн InedibleOchotense хэмээх Оростой холбоотой өөр нэг бүлэг ESET-ийг дуурайн spearphishing хийсэн бөгөөд имэйл болон Signal мессежээр trojan вирустай ESET installer тарааж, жинхэнэ ESET бүтээгдэхүүн суулгахын зэрэгцээ Kalambur Backdoor нэмж татсан.
Сүүлд нь, тэр бүр танигдаагүй бүлгүүдийн онцлох үйл ажиллагаа ажиглагдсан. FrostyNeighbor Roundcube-ийн XSS эмзэг байдлыг ашигласан. Польш, Литвын компаниуд, бизнесүүдийг дуурайсан spearphishing имэйлээр онилсон бөгөөд имэйлүүд нь bullet point ба emoji-ийн өвөрмөц хослолтой, хиймэл оюуны бүтээмжийг санагдуулам бүтэцтэй байв. Халдлагад credential stealer болон имэйл хулгайлах хэрэгсэл багтжээ. Мөн бид Иракт өмнө нь танигдаагүй Android spyware илрүүлж, Wibag гэж нэрлэсэн. YouTube апп болж дүр эсгэсэн Wibag нь Telegram, WhatsApp, Instagram, Facebook, Snapchat зэрэг мессежний платформуудыг онилж, keylogging, SMS, дуудлагын түүх, байршил, контакт, дэлгэцийн бичлэг, WhatsApp болон утасны дуудлагын бичлэг г.м. мэдээллийг хулгайлдаг. Сонирхолтой нь, уг spyware-ийн админ панелийн нэвтрэх хуудсанд Иракийн Үндэсний Аюулгүй Байдлын Албаны лого байдаг.