APT31 kampány Oroszországban
A PT Expert Security Center tanulmánya szerint az APT31 2024 – 2025-ös időszakban jelentős kampányokat folytat az orosz IT-szektor és állami alvállalkozói hálózatok ellen. A célzott vállalatok elsősorban olyan megoldásszállítók és integrátorok voltak, amelyek orosz kormányzati vagy ipari intézményekkel állnak kapcsolatban. A csoport működése során jellemzően előre megtervezett forgatókönyveket hajt végre, amelyek segítségével hosszabb ideig rejtve marad a belépés után, a PT ESC felderítette, hogy több gépen telepítettek LocalPlugX modult (amely billentyűleütéseket rögzít), továbbá olyan új rosszindulatú programokat azonosítottak, mint például AufTime, COFFProxy, VtChatter, YaLeak, CloudyLoader és OneDriveDoor. A támadók C2-kommunikációra felhívták a figyelmet: felhős tároló- és fájlmegosztó szolgáltatásokat használtak (Microsoft OneDrive vagy orosz felhők), illetve közösségi média-profilokon keresztül kapott jelek révén irányították a malware-műveleteket. Ennek egyik előnye, hogy a kommunikáció legitimen tűnő forgalmon keresztül zajlik, ezáltal nehezebb felismerni. A tanulmány kiemeli, hogy az időzítés is stratégiai, a támadások sok esetben hétvégéken vagy ünnepek alatt történnek, amikor a rendszerek ellenőrzése és a reagálás lassabb, így a csoport gyorsan megerősödhet a hálózatban.
A tanulmány szerint a bejutás után az APT31 nem csak adatlopást céloz, hanem a vállalaton belüli mozgásra, identitások és hitelesítések megszerzésére, valamint az infrastruktúra hosszú távú fenntartására törekszik. A belső mozgások során olyan technikákat alkalmaznak, mint a készenlétben álló szerverelemek („waiting for victim connection”), billentyű- és képernyőfigyelés, valamint a virtuális környezet manipulálása a detektálás kivédése érdekében. A tanulmány külön hangsúlyozza, hogy a célpontok között elsősorban a védelmi és állami szféra beszállítói hálózata áll — ez komoly hír- és hadiipari fókuszt jelez.
Az APT31 – Striking Panda -, egy kínai állami támogatású kiberbiztonsági csoport, amely hosszú évek óta aktív a kiberkémkedés és célzott kibertámadások területén. A csoport tevékenysége főleg politikai, katonai és gazdasági célpontokra irányul, és a támadásaik során gyakran alkalmaznak speciális, egyedi kártevő programokat, valamint kifinomult szociális mérnöki technikákat.
A Striking Panda tevékenységei jellemzően a nyugat-európai országok, az Egyesült Államok, valamint ázsiai régiók ellen irányulnak. A támadások során gyakran használnak spear-phishinget, azaz célzott, meggyőző elektronikus leveleket, amelyek segítségével próbálnak hozzáférni érzékeny információkhoz. Emellett gyakran kizsákmányolják a nulladik napi sérülékenységeket, azaz olyan biztonsági réseket, amelyekről a szoftvergyártók még nem tudnak, így nincs rá javítás. Ez lehetővé teszi a csoport számára, hogy hosszú időn keresztül jelen legyen a megfertőzött rendszerekben, és folyamatosan gyűjtse az információkat.
A csoport fő célja általában az információgyűjtés, az ipari és katonai titkok megszerzése, valamint a politikai befolyásolás. A legújabb elemzések szerint az APT31 folyamatosan fejleszti támadó eszközeit, és egyre inkább bevet mesterséges intelligencia alapú technikákat a támadások automatizálására és a védelmi rendszerek kijátszására. Ez azt jelenti, hogy a támadásaik egyre kifinomultabbá és nehezebben észrevehetővé válnak, ami komoly kihívást jelent a kiberbiztonsági szakemberek számára.
