Azië en het Midden-Oosten: broeinest nieuwe dreigingsactoren in eerste kwartaal 2018

Bekende cybergroepen vertoonden geen noemenswaardige activiteiten

Utrecht, 12 april 2018 – Gedurende de eerste drie maanden van het jaar hebben onderzoekers van Kaspersky Lab een golf aan nieuwe APT-activiteit ontdekt. Een groot deel komt uit Azië: ruim 30 procent van de meldingen in het eerste kwartaal betreft dreigingen in deze regio. Ook in het Midden-Oosten is een piek in de activiteiten geconstateerd, waarbij cybergroepen nieuwe technieken hebben toegepast. Deze en andere trends komen aan bod in het meest recente driemaandelijkse threat intelligence-rapport van Kaspersky Lab.

In het eerste kwartaal van 2018 hebben de onderzoekers van Kaspersky Lab onverminderd cyberactiviteit gedetecteerd van APT-groepen (advanced persistent threat) in onder andere Russisch, Chinees, Engels en Koreaans. Hoewel sommige bekende actoren geen noemenswaardige actie hebben laten zien, is in de Aziatische regio sprake van een toenemend aantal APT-operaties en nieuwe actoren. Deze stijging wordt gedeeltelijk toegeschreven aan de malware-aanval van Olympic Destroyer op de Olympische Spelen in Pyeongchang.

Belangrijke bevindingen in Q1 2018 zijn onder meer:
  • Voortdurende toename van Chineestalige activiteit, waaronder het ShaggyPanther-cluster dat zich richt op vooral Taiwanese en Maleisische overheidsentiteiten en CardinalLizard, dat zich in 2018, naast de bestaande focus op de Filippijnen, Rusland en Mongolië, in toenemende mate op Maleisië richt.
  • Geregistreerde APT-activiteit in Zuid-Azië. Pakistaanse militaire entiteiten zijn aangevallen door de onlangs ontdekte Sidewinder-groep.
  • De APT IronHusky lijkt zich niet meer op het Russische militaire apparaat te richten en de activiteiten naar Mongolië te hebben verplaatst. Eind januari 2018 lanceerde deze Chineestalige actor een aanval tegen Mongoolse overheidsorganisaties. Dit was kort vóór hun ontmoeting met het Internationaal Monetair Fonds (IMF).
  • Korea blijft in beeld. De APT Kimsuky, gericht op Zuid-Koreaanse denktanks en politieke activiteiten, heeft zijn arsenaal vernieuwd met een volledig nieuw kader. Dit is speciaal ontwikkeld voor cyberspionage en is ingezet in een spear-phishing-campagne. Bovendien heeft Bluenoroff, onderdeel van de beruchte Lazarus-groep, de aandacht verschoven naar nieuwe doelen, waaronder cryptovalutabedrijven en Point of Sales (PoS).
Kaspersky Lab heeft verder een piek in de dreigingsactiviteit in het Midden-Oosten vastgesteld. De APT StrongPity heeft bijvoorbeeld een aantal nieuwe MiTM-aanvallen (Man-in-the-Middle) op netwerken van internetserviceproviders uitgevoerd. Een andere zeer bekwame cybercriminele groep, Desert Falcons, heeft zijn rentree gemaakt om de pijlen te richten op Android-apparaten, met malware die in 2014 ook al is toegepast.

Ook hebben onderzoekers van Kaspersky Lab in het eerste kwartaal verschillende groepen ontdekt die zich met hun campagnes routinematig richten op routers en netwerkhardware. Een benadering die jaren geleden werd toegepast door actoren als Regin en CloudAtlas. Volgens experts zullen routers voor aanvallers een doelwit blijven, om op die manier voet aan de grond te krijgen in de infrastructuur van het slachtoffer.

"Tijdens de eerste drie maanden van het jaar hebben we een aantal nieuwe groepen aan het werk gezien, op verschillende niveaus van verfijning, maar over het algemeen gebruikmakend van de meest gangbare en beschikbare malwaretools”, zegt Vicente Diaz, Principal Security Researcher bij het GReAT-team van Kaspersky Lab. “Tegelijkertijd hebben we vast kunnen stellen dat diverse bekende actoren geen noemenswaardige activiteiten vertonen. Dit doet ons vermoeden dat ze bezig zijn hun strategieën te heroverwegen en hun teams te reorganiseren ten behoeve van toekomstige campagnes."

Het nieuwe rapport, Q1 APT Trends, is een samenvatting van Kaspersky Lab’s threat intelligence-rapporten op abonneebasis. Tijdens het eerste kwartaal van 2018 heeft het Global Research and Analysis Team van Kaspersky Lab voor abonnees 27 persoonlijke rapporten opgesteld, met IoC-data (Indicators of Compromise) en YARA-regels die een bijdrage leveren aan forensische gegevens en de jacht op malware.

Neem voor meer informatie contact op met intelreports@kaspersky.com .

Verdere details over APT-activiteit in 2018 zijn te vinden op Securelist.