ПРОГРИД СИСТЕМС ХХК, Progrid Systems LLC,
ESET APT Activity Report Q4 2024–Q1 2025ESET APT Activity Report Q4 2024–Q1 2025
ESET-ийн судлаачдын баримтжуулсан мэдээлэлд үндэслэн “ESET APT Activity Report Q4 2024–Q1 2025” тайлан нь 2024 оны аравдугаар сараас 2025 оны гуравдугаар сарын хооронд идэвхтэй үйл ажиллагаа явуулсан зарим APT халдлага үйлдэж буй бүлгүүдийн онцлох үйлдлүүдийг нэгтгэн тайлан гаргасан байна. Энд дурдсан ажиллагаанууд нь бидний судалсан илүү өргөн хүрээтэй кибер аюулын ерөнхий чиг хандлага, хөгжлийг харуулж байгаа бөгөөд ESET-ийн хувийн APT тайлангуудын хүрээнд мэдээллийн зөвхөн багахан хэсгийг хүргэж байна.
Тухайн хугацаанд:
БНХАУ-тай холбоотой бүлгүүд:
- Европын байгууллагуудад чиглэсэн тагнуулын кампанит ажлуудаа идэвхтэй үргэлжлүүлсэн.
- Mustang Panda бүлэг төрийн байгууллагууд болон далайн тээврийн компаниудыг Korplug ачаалагч болон халдвартай USB төхөөрөмжөөр онилсон.
- DigitalRecyclers бүлэг Европын холбооны төрийн байгууллагуудыг KMA VPN сүлжээгээр халхалж, RClient, HydroRShell, GiftBox зэрэг хортой код ашиглан довтолсон.
- PerplexedGoblin бүлэг шинэ NanoSlate нэртэй тагнуулын програм ашиглан Төв Европын нэгэн төрийн байгууллагад халдсан.
- Webworm бүлэг SoftEther VPN ашиглан Сербийн төрийн байгууллагыг онилсон нь уг VPN хэрэгслийг Хятадын бүлгүүдийн дунд түгээмэл хэвээр байгааг харуулсан.
- ShadowPad бүлэг зарим тохиолдолд ransomware хэрэглэж байгаа ч голчлон тагнуулын үйл ажилллагаа явуулж байна гэж үзжээ.
- Worok бүлэг HDMan, PhantomNet, Sonifake зэрэг олон тагнуулын хэрэгслүүдийг тогтмол ашиглаж байгааг ESET тодотгов.
Ирантай холбоотой бүлгүүд:
- MuddyWater spearphishing (бусдын итгэлийг олох замаар мэдээлэл авах) халдлагад RMM програмуудыг ашигласан.
- Lyceum бүлэг Израилийн үйлдвэрлэлийн компанид халдсан.
- BladedFeline Узбекстанд дахин идэвхжиж, өмнө нь халдсан харилцаа холбооны компанид чиглэсэн.
- CyberToufan Израилийн хэд хэдэн байгууллагад мэдээлэл устгах зорилготой wiper хорт програм ашигласан.
Умард Солонгостой холбоотой бүлгүүд:
- DeceptiveDevelopment санхүү, криптовалют, блокчэйн салбарын ажил хайгчдыг хуурсан зараар төөрөгдүүлэн WeaselStore хорт кодыг тараасан.
- TraderTraitor бүлэг Safe{Wallet} платформоор дамжин халдлага хийж, Bybit крипто арилжааны биржид 1.5 тэрбум ам.долларын хохирол учруулсан.
- Kimsuky, Konni бүлгүүд 2024 оны сүүлээр идэвх буурсан ч 2025 оны эхээр дахин идэвхжиж, Солонгосын байгууллагууд, дипломат ажилтнууд руу чиглэж эхэлсэн.
- Andariel бүлэг бүтэн жилийн завсарлага авсны дараа Өмнөд Солонгосын аж үйлдвэрийн програм хангамж үйлдвэрлэгчийг нарийн ажиллагаатай довтолж эргэн гарч ирсэн.
Оростой холбоотой бүлгүүд:
- Sednit бүлэг XSS ашиглан Roundcube, Horde, MDaemon, Zimbra зэрэг вебмэйл үйлчилгээнүүдийг довтолсон. CVE‑2024‑11182 нэртэй MDaemon Email Server-ийн zero-day эмзэг байдлыг ашиглаж, Украин компанид халдсан.
- RomCom бүлэг Mozilla Firefox (CVE‑2024‑9680) болон Microsoft Windows (CVE‑2024‑49039)-ийн zero-day эмзэг байдлыг ашигласан.
- Gamaredon бүлэг Украинд чиглэсэн хамгийн идэвхтэй довтлогч хэвээр байна. PteroBox нэртэй Dropbox ашигладаг файлын хулгайч програм нэвтрүүлсэн.
- Sandworm бүлэг Украин дахь эрчим хүчний компаниудад ZEROLOT нэртэй шинэ wiper програм, RMM хэрэгслүүд ашиглан халдлага үйлдсэн.
Бусад:
- Үл мэдэх бүлэг Украины өндөр албан тушаалтнууд, дипломатуудад чиглэсэн Дэлхийн Эдийн Засгийн Форум болон сонгуулийн вэбсайт болж жүжиглэн, өндөр зорилтот phishing халдлага явуулсан.
- StealthFalcon бүлэг Турк болон Пакистанд тагнуулын үйл ажиллагаа явуулсан.
Эдгээр аюултай ажиллагааг ESET-ийн бүтээгдэхүүнүүд илрүүлсэн бөгөөд тайланд тусгасан мэдээлэл нь ESET-ийн дотоод телеметрийн өгөгдөл болон судлаачдын баталгаажуулсан баримтад тулгуурласан болно.
ESET APT Activity Report Q4 2024–Q1 2025
ESET-ийн судлаачдын баримтжуулсан мэдээлэлд үндэслэн “ESET APT Activity Report Q4 2024–Q1 2025” тайлан нь 2024 оны аравдугаар сараас 2025 оны гуравдугаар сарын хооронд идэвхтэй үйл ажиллагаа явуулсан зарим APT халдлага үйлдэж буй бүлгүүдийн онцлох үйлдлүүдийг нэгтгэн тайлан гаргасан байна. Энд дурдсан ажиллагаанууд нь бидний судалсан илүү өргөн хүрээтэй кибер аюулын ерөнхий чиг хандлага, хөгжлийг харуулж байгаа бөгөөд ESET-ийн хувийн APT тайлангуудын хүрээнд мэдээллийн зөвхөн багахан хэсгийг хүргэж байна.
Тухайн хугацаанд:
БНХАУ-тай холбоотой бүлгүүд:
- Европын байгууллагуудад чиглэсэн тагнуулын кампанит ажлуудаа идэвхтэй үргэлжлүүлсэн.
- Mustang Panda бүлэг төрийн байгууллагууд болон далайн тээврийн компаниудыг Korplug ачаалагч болон халдвартай USB төхөөрөмжөөр онилсон.
- DigitalRecyclers бүлэг Европын холбооны төрийн байгууллагуудыг KMA VPN сүлжээгээр халхалж, RClient, HydroRShell, GiftBox зэрэг хортой код ашиглан довтолсон.
- PerplexedGoblin бүлэг шинэ NanoSlate нэртэй тагнуулын програм ашиглан Төв Европын нэгэн төрийн байгууллагад халдсан.
- Webworm бүлэг SoftEther VPN ашиглан Сербийн төрийн байгууллагыг онилсон нь уг VPN хэрэгслийг Хятадын бүлгүүдийн дунд түгээмэл хэвээр байгааг харуулсан.
- ShadowPad бүлэг зарим тохиолдолд ransomware хэрэглэж байгаа ч голчлон тагнуулын үйл ажилллагаа явуулж байна гэж үзжээ.
- Worok бүлэг HDMan, PhantomNet, Sonifake зэрэг олон тагнуулын хэрэгслүүдийг тогтмол ашиглаж байгааг ESET тодотгов.
Ирантай холбоотой бүлгүүд:
- MuddyWater spearphishing (бусдын итгэлийг олох замаар мэдээлэл авах) халдлагад RMM програмуудыг ашигласан.
- Lyceum бүлэг Израилийн үйлдвэрлэлийн компанид халдсан.
- BladedFeline Узбекстанд дахин идэвхжиж, өмнө нь халдсан харилцаа холбооны компанид чиглэсэн.
- CyberToufan Израилийн хэд хэдэн байгууллагад мэдээлэл устгах зорилготой wiper хорт програм ашигласан.
Умард Солонгостой холбоотой бүлгүүд:
- DeceptiveDevelopment санхүү, криптовалют, блокчэйн салбарын ажил хайгчдыг хуурсан зараар төөрөгдүүлэн WeaselStore хорт кодыг тараасан.
- TraderTraitor бүлэг Safe{Wallet} платформоор дамжин халдлага хийж, Bybit крипто арилжааны биржид 1.5 тэрбум ам.долларын хохирол учруулсан.
- Kimsuky, Konni бүлгүүд 2024 оны сүүлээр идэвх буурсан ч 2025 оны эхээр дахин идэвхжиж, Солонгосын байгууллагууд, дипломат ажилтнууд руу чиглэж эхэлсэн.
- Andariel бүлэг бүтэн жилийн завсарлага авсны дараа Өмнөд Солонгосын аж үйлдвэрийн програм хангамж үйлдвэрлэгчийг нарийн ажиллагаатай довтолж эргэн гарч ирсэн.
Оростой холбоотой бүлгүүд:
- Sednit бүлэг XSS ашиглан Roundcube, Horde, MDaemon, Zimbra зэрэг вебмэйл үйлчилгээнүүдийг довтолсон. CVE‑2024‑11182 нэртэй MDaemon Email Server-ийн zero-day эмзэг байдлыг ашиглаж, Украин компанид халдсан.
- RomCom бүлэг Mozilla Firefox (CVE‑2024‑9680) болон Microsoft Windows (CVE‑2024‑49039)-ийн zero-day эмзэг байдлыг ашигласан.
- Gamaredon бүлэг Украинд чиглэсэн хамгийн идэвхтэй довтлогч хэвээр байна. PteroBox нэртэй Dropbox ашигладаг файлын хулгайч програм нэвтрүүлсэн.
- Sandworm бүлэг Украин дахь эрчим хүчний компаниудад ZEROLOT нэртэй шинэ wiper програм, RMM хэрэгслүүд ашиглан халдлага үйлдсэн.
Бусад:
- Үл мэдэх бүлэг Украины өндөр албан тушаалтнууд, дипломатуудад чиглэсэн Дэлхийн Эдийн Засгийн Форум болон сонгуулийн вэбсайт болж жүжиглэн, өндөр зорилтот phishing халдлага явуулсан.
- StealthFalcon бүлэг Турк болон Пакистанд тагнуулын үйл ажиллагаа явуулсан.
Эдгээр аюултай ажиллагааг ESET-ийн бүтээгдэхүүнүүд илрүүлсэн бөгөөд тайланд тусгасан мэдээлэл нь ESET-ийн дотоод телеметрийн өгөгдөл болон судлаачдын баталгаажуулсан баримтад тулгуурласан болно.