Kaspersky's nieuwste APT-trendsrapport voor Q1 2022

APT-actoren in het eerste kwartaal van 2022: low-level implantaten, de jacht op cryptocurrency en geopolitieke aanvallen

Advanced Persistent Threat (APT)-actoren hebben een druk kwartaal achter de rug blijkt uit Kaspersky's nieuwste APT-trendsrapport voor Q1 2022. Zowel recentelijk ontdekte als lopende campagnes van nieuwe en bekende operators zorgden voor aanzienlijke veranderingen in het APT-dreigingslandschap. APT-actoren, die zich voornamelijk richten op bedrijven en overheidsinstanties, hebben reeds bestaande schadelijke toolsets bijgewerkt en hun technieken gediversifieerd om hun aanvallen te verbeteren. Deze en andere trends komen aan bod in Kaspersky's nieuwste APT-trendsrapport.

Het driemaandelijkse APT-trendsrapport is afgeleid van Kaspersky's private threat intelligence-onderzoek en belangrijke ontwikkelingen en cyberincidenten waarvan onderzoekers vinden dat iedereen op de hoogte moet zijn. Dit zijn de belangrijkste bevindingen.

Geopolitieke crises als belangrijke drijfveer voor APT-ontwikkelingen

Het dreigingslandschap zag talrijke aanvallen rond de Oekraïense crisis. HermeticRansom, DoubleZero en vele andere nieuwe aanvallen gericht op Oekraïense entiteiten werden in februari en maart gemeld. Er was een aanzienlijke piek in de hoeveelheid nieuwe infrastructuur die werd ingezet door de APT-groepen Gamaredon en UNC1151 (Ghostwriter). Gedurende het onderzoek identificeerden Kaspersky-onderzoekers twee WhisperGate-prototypesamples die in december 2021 waren ontwikkeld en die teststrings en eerdere revisies van het losgeldbriefje bevatten die zijn waargenomen in de gedeelde samples van Microsoft. Ze concludeerden met grote zekerheid dat deze monsters eerdere iteraties waren van de wiper-malware die naar verluidt in Oekraïne werd gebruikt.

Tegelijkertijd identificeerden Kaspersky-onderzoekers drie campagnes die gekoppeld zijn aan de Konni-dreigingsactor, die sinds medio 2021 actief is en gericht is op Russische diplomatieke entiteiten. Hoewel de aanvallers in de verschillende campagnes gebruikmaakten van hetzelfde Konni-RAT-implantaat, waren de infectievectoren in elke campagne anders: documenten met ingesloten macro's, een installatieprogramma dat zich voordeed als een COVID-19-registratietoepassing en andere.

De terugkeer van aanvallen op laag niveau

Vorig jaar voorspelden onderzoekers van Kaspersky de verdere ontwikkeling van low-level implantaten in 2022. Een treffend voorbeeld van deze trend is de door Kaspersky ontdekte Moonbounce, het derde bekende geval van een firmware bootkit in het wild. Dit kwaadaardige implantaat zat verstopt in Unified Extensible Firmware Interface (UEFI) firmware, een essentieel onderdeel van computers. Het implantaat werd aangetroffen in de SPI-flash, een opslagcomponent buiten de harde schijf. De campagne werd toegeschreven aan de APT-actor APT41.

APT-actoren gaan achter cryptocurrency aan

In tegenstelling tot de meeste door de staat gesponsorde APT-groepen, hebben Lazarus en andere dreigingsactoren die aan deze APT gelieerd zijn, financieel gewin tot een van hun primaire doelen gemaakt. Deze actor heeft Trojaanse gedecentraliseerde financiële (DeFi) apps verspreid om de winst te verhogen. Lazarus maakt misbruik van legitieme toepassingen die worden gebruikt om cryptocurrency-portemonnees te beheren door malware te verspreiden die controle biedt over de systemen van slachtoffers.

David Emm, principal security researcher bij Kaspersky’s GReAT: “Geopolitiek is altijd de belangrijkste drijfveer geweest voor APT-aanvallen, en nog nooit was dat zo duidelijk als nu. We leven in turbulente tijden en dat is ook duidelijk te zien binnen de cybersecurity. Tegelijkertijd zien we dat het eerste kwartaal voor veel dreigingsactoren business as usual is geweest, met voortdurende updates van tools en nieuwe campagnes die niet alleen uit zijn op informatie, maar ook op geld. Dit betekent dat organisaties even alert moeten zijn als altijd en ervoor moeten zorgen dat ze gewapend zijn met dreigingsinformatie en de juiste tools om zich te beschermen tegen bestaande en opkomende dreigingen."

Het Q1 APT Trends rapport vat de bevindingen samen van Kaspersky's abonnee-only threat intelligence rapporten, die ook Indicators of Compromise (IoC) data en YARA regels bevatten om te helpen bij forensisch onderzoek en malware-hunting. Voor meer informatie kunt u contact opnemen met: intelreports@kaspersky.com

Eerder dit kwartaal heeft Kaspersky's GReAT een presentatie gegeven over cyberaanvallen in Oekraïne, waaronder de nieuwste APT-activiteiten. Bekijk de opname van de webinar hier en lees hier de samenvatting.

Om het volledige APT Q1 2022 trendrapport te lezen, kunt u terecht op Securelist.